SE519251C2 - En metod och ett system för överföring av paket mellan två olika enheter - Google Patents

En metod och ett system för överföring av paket mellan två olika enheter

Info

Publication number
SE519251C2
SE519251C2 SE0004076A SE0004076A SE519251C2 SE 519251 C2 SE519251 C2 SE 519251C2 SE 0004076 A SE0004076 A SE 0004076A SE 0004076 A SE0004076 A SE 0004076A SE 519251 C2 SE519251 C2 SE 519251C2
Authority
SE
Sweden
Prior art keywords
unit
address
data packet
intermediate unit
data
Prior art date
Application number
SE0004076A
Other languages
English (en)
Other versions
SE0004076L (sv
SE0004076D0 (sv
Inventor
Mats Hoejlund
Martin Bergek
Original Assignee
Icomera Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Icomera Ab filed Critical Icomera Ab
Priority to SE0004076A priority Critical patent/SE519251C2/sv
Publication of SE0004076D0 publication Critical patent/SE0004076D0/sv
Priority to EP01981284A priority patent/EP1332577A1/en
Priority to PCT/SE2001/002462 priority patent/WO2002039657A1/en
Priority to AU2002212939A priority patent/AU2002212939A1/en
Priority to US10/416,201 priority patent/US20040037284A1/en
Publication of SE0004076L publication Critical patent/SE0004076L/sv
Publication of SE519251C2 publication Critical patent/SE519251C2/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Description

20 25 30 35 519 251 2 När anslutningsmetoden förändras till paketbaserade nätverk, såsom ett nätverk användande TCP/IP, erfordras nya sätt att lösa säkerheten. Det är möjligt, och även sannolikt, att datatrafik i stor utsträckning kommer att transporteras via Internet. Det gäller speciellt kommande mobilstandarder. I dessa fall kan det mobila nätverket även vara anslutet till Internet vid en enda punkt.
Med detta i åtanke måste ny kraft ägnas åt att lösandet av krypterings- och integritetsaspekterna. Ett sätt att lösa detta är genom användning av standardiserade säkerhetslösningar såsom IPSec, som är ett säkerhetstillägg till Internetprotokollet som tillför funktioner för lösande av autenticering, kryptering och dataintegritet. IPSec är en version av en familj av lösningar kallade VPN - Virtual Private Networks. De fungerar alla på ett likartat sätt och tunnlar data över ett osäkert nätverk. Användarens dator är anordnad vid en ände av tunneln, medan den andra änden av tunneln är anordnad i ett annat nätverk, vanligtvis på ett säkert nätverk bakom en brandvägg. För enkelhets skull kommer detta dokument att fokusera på IPSec, även om problemet och dess lösning även är tillämpligt på andra tunnlingslösningar.
IPSec eller andra likartade lösningar kan implementeras på ett antal olika sätt. Ett sätt är att implementera en helt ny TCP/IP-stack. Detta är dock dyrt och innebär vidare att hela funktionen för stacken behöver omimplementeras istället för att helt enkelt återanvändas.
Ett annat sätt är att använda en “Bump in the stack” (BITS) såsom IPSec, placeras precis under TCP/IP-stacken, dvs -lösning. BITS är en metod där såkerhetslösningen, mellan nätverks- och datalänkskiktet. Sådana lösningar görs i mjukvara och kräver inte en fullstädning omskrivning av TCP/IP-stacken. IPSec-klienten är anordnad under TCP/IP-stacken och tunnlar data till och från en IPSec~server vid den andra änden. 10 l5 20 25 30 35 n I u Iouoøo u -~; n uno-n. n n 519 251 3 Ytterligare ett annat sätt är att använda en “Bump (BITW) förutom att implementeringen sker för det verkliga in the Wire” -lösning. BITW är detsamma som BITS, överföringsmediet, dvs i datalänks eller det fysiska skiktet hos nätverket. IPSec-klienten anordnas därvid på den verkliga kommunikationslänken and tunnlar data till och fràn IPSec-servern vid den andra änden. Baserat pà bàde praktiska och ekonomiska skäl kommer BITS sannolikt at bli den oftast använda metoden för att implementera IPSec.
Det finns flera problem med att använda lösningar med autenticering, kryptering och/eller dataintegritetskontroller implementerade mellan nätverksskiktet, dvs en TCP/IP-stack, och datalänk och det fysiska skiktet. pä möjligheterna att förändra data vid överföringen över IPSec inför allvarliga begränsningar nätverket. Detta gör det omöjligt att förändra IP- pakethuvuden under överföringen.
Det finns ett antal situationer när IP~paket behöver förändras under överföringen. En situation är när en NAT (Network Address Translation)-lösning behövs för att begränsa användningen av IP-adresser. IP-adressen som används externt av NAT-gatewayen för en specifik klientdator kan förändras utan förvarning. Ett GPRS- nätverk med ett flertal anslutna terminaler är ett typiskt fall för en NAT-lösning eftersom det inte finns tillräckligt många enskilda IP-adresser för alla terminaler. Istället delas adresserna mellan flera terminaler. En IP-adress behöver därför inte nödvändigtvis identifiera en specifik klient.
En annan situation är vid användning av Mobile IP.
Mobile IP fungerar pä ett sätt som gör det olämplig tillsammans med säkerhetslösningar.
Ytterligare en annan situation föreligger i system som använder multipla samtidiga paketbaserade kommunikationslänkar, sàsom beskrivs i PCT-ansökan SEOO/00883 av Karlsson m fl. I ett sådant system används 10 15 20 25 30 35 o o a n . a -ouuuu u --. u »nu n enn-o a a u u-n-an 519 251 i 4 teknik för att öka bandbredden för mobil datakommunikation genom att möjliggöra användningen av multipla samtidiga paketbaserade kommunikationslänkar.
Detta innebär att klientdatorn kommer att vara associerade med multipla IP-adresser, vilka kan tilldelas dynamiskt beroende på den underliggande kommunikationstekniken.
Normalt kommer IPSec-klienten att använda IP- adressen för klienten och kryptera denna adress dvs mottagaren, tillsammans med lasten. IPSec-gatewayen, dekrypterar sedan data och autenticerar den. Som en viktig del i denna process kontrollerar den sändarens adress och jämför den med information med den krypterade lasten. I normala fall kommer IPSec-klienten att ha fått sin IP-adress från nätverksskiktet hos klienten och ingen avvikelse existerar. Följaktligen kommer IP-paketet att accepteras av IPSec-gatewayen och vidarebefordras till dess destination.
Om å andra sidan paketet förändrades för att ta hand om någon av situationerna ovan, såsom med en NAT-lösning eller någon annan lösning som förändrar IP-paketeten, kommer sändarens IP-adress som den ses från IPSec- gatewayen, att skilja sig från den krypterade informationen. Denna avvikelse skulle göra att paketen förkastas av IPSec-gatewayen. Naturligtvis är detta inte något önskat beteende.
Problem som uppkommer vid implementering av en säkerhetslösning i ett TCP/IP-omgivning har nu beskrivits som ett exempel. Mer allmänt hänför sig problemet till paketbaserade kommunikationssystem, varvid data överförs från en första enhet till en andra enhet, och data sänds via en mellanliggande enhet. I andra lösningar där data skall transporteras via en mellanliggande enhet är det därför troligt att dessa problem uppkommer, eftersom det för den mottagande enheten framstår som om data sändes från den mellanliggande enheten, medan den i verkligheten kommer från en enhet bakom den mellanliggande enheten. lO 15 20 25 30 35 519 251 5 Med andra ord uppkommer problemet i punkt-till-punkt- säkerhetslösningar där en mellanliggande enhet utför förändringar av Överförd data.
Syfte med uppfinningen Det är därför ett syfte med föreliggande uppfinning att tillhandahålla en förbättrad metod och ett förbättrat system för datapaketskommunikation från en första till en andra enhet, varvid datapaketen sänds via en mellanliggande enhet, vilket medger implementering av lösningar för att säkra dataöverföring fràn källan till destinationen, varvid de ovan nämnda problemen övervinns.
Detta syfte erhålls medelst en metod och ett system i enlighet med bifogade patentkrav.
Sammanfattning av uppfinningen I enlighet med uppfinningen tillhandahålls en metod för paketbaserad datakommunikation mellan en första enhet och en andra enhet, varvid nämnda första enhet kommunicerar via en mellanliggande enhet, och där varje enhet identifieras av ätminstone en adress, omfattande stegen att: vid nämnda första enhet fràn nämnda mellanliggande enhet inhämta en adress av nämnda ätminstone en adresser identifierande nämnda mellanliggande enhet; använda nämnda inhämtade adress som källadress vid formande av ett första datapaket i nämnda första enhet; sända nämnda första datapaket fràn nämnda första enhet till nämnda mellanliggande enhet; och vidarebefordra nämnda första datapaket fràn nämnda mellanliggande enhet till nämnda andra enhet med användning av den inhämtade adressen.
Härigenom tillhandahålls en metod som övervinner de ovannämnda problemen. Metoden i enlighet med uppfinningen använder datapaket som har en adress för den mellanliggande enheten som källadress. Dä ser det ut som om paketet som har sänts frän den första enheten har sänts fràn den mellanliggande enheten. Termen "adress" lO 15 20 25 30 35 519 251 6 som används skall tolkas brett, som en sorts identifikation för varje enhet. Enheterna ovan kan varav vilken som helst typ av databearbetande enhet med kommunikationsorgan, såsom en mobilterminal, en persondator med ett nätverkskort osv. Den uppfinnings- enliga lösningen tillhandhàller nya möjligheter vid implementering av lösningar som säkrar dataöverföring från den första till den andra enheten. Sådana lösningar kan då implementeras i den första och andra enheten oavsett mellanliggande enheter. Sålunda erbjuder detta nya sätt att sända datapaket via en mellanliggande enhet möjligheter att använda säkerhetslösningar i den första och andra enheten utan anpassande av dem till kommunikationslösningen med en mellanliggande enhet.
Med en sådan metod blir det exempelvis möjligt att använda lösningar för autenticering, kryptering och/eller dataintegritetskontroll för datapaket som sänds via en mellanliggande enhet, såsom en NAT-gateway, en extern agent i en mobil IP-lösning eller en sådan lösning för ökad bandbredd som beskrivits ovan.
Nämnda första enhet är företrädesvis beskriven i skikt, där den omfattar en applikationsskikt, ett transport/nätverksskikt, ett datalänksskikt och ett fysiskt skikt. En adapter är tillhandhàllen i nätverksskiktet för att hantera en fysisk kommunikationsenhet i skiktet under. I vissa applikationer kan den första enhet ha flera adaptrar. En adapter kan exempelvis vara ett nätverkskort, en trådlös anslutningsenhet som använder bluetooth, etc. Såsom beskrivits tidigare, är metoden enligt föreliggande uppfinning tillämpbar vid användning av en säkerhetslösning som implementerats ovanför adaptrarna, men under applikationsskiktet, dvs ett säkerhetsprotokoll implementerat som en BITS-lösning eller implementerat i en omskriven stack.
Företrädesvis utförs då steget att inhämta en adress från den mellanliggande enheten i en funktion 10 15 20 25 30 35 519 251 7 precis ovanför adaptrarna. En funktion i transport- /nätverksskiktet som begär en adress fràn en adapter skulle dà fä till svar en annan adress än adressen för adaptern.
En begäran fràn applikationsskiktet till transportskiktet för transporterande av data skulle då resultera i ett datapaket som har en annan källadress än adressen för en av enhetens adaptrar.
I ett föredraget utförande reserveras adressen som hämtas fràn den mellanliggande enheten vid den mellanliggande enheten. Detta är användbara utföranden då det finns flera enheter som sänder data genom den mellanliggande enheten. Reservationen görs för att förhindra andra sändande enheter att använda den mellanliggande enheten samtidigt med användande av samma adress i deras datapaket. Användningen av reserverade adresser vid den mellanliggande enheten är också av intresse vid hanterande av svar pä de sända datapaketen, dvs för routande av datapaket tillbaka till den första enheten. Dock finns det andra lösningar för bestämmande av vilken adress en första enhet skall använda vid den mellanliggande enheten. Exempelvis kan detta bestämmas i ett tidigare skede, eftersom den första enheten och den mellanliggande enheten troligen har någon form av relation innan adressen hämtas. Denna relation kan exempelvis vara en NAT-lösning eller ett system som använder multipla samtidiga paketbaserade kommunikationslänkar, såsom systemet som beskrivs i PCT- ansökan SEOO/00883 av Karlsson m fl, varvid den första enheten skulle representera en klient och den mellanliggande enheten en NAT-gateway och server. Ett annat sätt skulle vara att använda en statisk förutbestämd adress vid den mellanliggande enheten för den första enheten. Företrädesvis är reservationen temporär och varar under en specificerad tidsperiod.
Exempelvis kan reservationen använda en time out- funktion, dvs om den första enheten inte sänder eller lO 15 20 25 30 35 519 251 8 mottar några datapaket genom den mellanliggande enheten under ett specificerat tidsintervall så löper reserva- tionen ut. I ett annat utförande är det dock möjligt att dela en adress vid den mellanliggande enheten bland flera enheter som använder den mellanliggande enheten för att sända data. Då måste någon form av lösning för svaren till datapaketen som sänds implementeras. En sådan lösning kan vara baserad på innehållet och/eller destinationen och/eller tidpunkten när paketen sändes.
Företrädesvis omfattar steget att sända nämnda första datapaket från nämnda första enhet till nämnda mellanliggande enhet understegen att: vid nämnda första enhet kapsla in nämnda första datapaket i ett nytt datapaket som har en av nämnda àtminstone en adresser som identifierar nämnda första enhet som källadress; sändande av nämnda nya datapaket från nämnda första enhet till den mellanliggande enheten; och vid nämnda mellanliggande enhet avkapsla nämnda nya datapaket för att erhålla nämnda första datapaket i ursprunglig form. Härigenom tillhandahålls en tunnel mellan den första enheten och den mellanliggande enheten för att transportera datapaket med andra adresser adressen för den första enheten.
Företrädesvis omfattar metoden enligt uppfinningen vidare stegen att: vid nämnda första enheten tillföra säkerhetsinformation baserat på nämnda hämtade adress till nämnda första datapaket. Härigenom kan säkerhet tillföras vid den första enheten, även om den andra enheten kommer att se den mellanliggande enheten som sändande enhet. Sålunda tillhandahålls en säker tunnel utanför tunneln hela vägen från den första enheten till den andra enheten. Det blir medelst denna metod möjligt att bestämma säkerhetslösningen utan att involvera en operatör för den mellanliggande enheten.
Säkerhetsinformationen kan omfatta ett autenticierings- huvud vilket innehåller autenticeringsdata för verifierande av integriteten för datapaketet, men kan även omfatta data som signerar och/eller krypterar. Denna lO 15 20 25 30 35 519 251 9 säkra tunnel implementeras företrädesvis med användning av IPSec-protokollet. I detta utförande omfattar metoden även steget att vid nämnda andra enhet verifiera data och transportinformation från nämnda första datapaket med användning av nämnda tillämpade säkerhetsinformation.
Härigenom kontrolleras dataintegriteten så att inga otillåtna förändringar har utförts medan data överfördes.
Sålunda kan säkerhetsinformationen tillföras i den första enheten och verifieras i den andra enheten utan hänsyn till den mellanliggande enheten eftersom den inhämtade adressen används som källadress i datapaketet. Detta tillåter användande av standardlösningar för datasäkerheten, såsom IPSec.
I ett utförande omfattar metoden vidare stegen att: sända ett andra datapaket från nämnda andra enhet till nämnda mellanliggande enhet, varvid nämnda andra datapaket har en adress av nämnda åtminstone en adresser som identifierar nämnda mellanliggande enheten som destinationsadress; och tunnla nämnda andra datapaket från nämnda mellanliggande enhet till nämnda första enhet.
Härigenom tillhandahålls en metod vilken också hanterar svar från den andra enheten till den första enheten. Med en sådan metod är det möjligt att använda samma säkerhetslösning vid sändande av ett svar på datapaketet som sänts från den andra enheten. Sålunda, behöver den andra enheten inte någon ytterligare mjukvara för besvärande av det första datapaketet. När säkerhetsinformationen tillförs av den andra enheten, såsom information tillförd av IPSec om IPSec används, är denna information sålunda baserad på en adress för den andra enheten som källadress och en adress för den mellanliggande enheten som destinationsadress. För att transportera paketet till den första enheten kapslas det då in i ett paket och överförs till en av de åtminstone en adaptrarna hos den första enheten där det avkapslas.
Eftersom den första enheten initialt hämtade en adress 10 15 20 25 30 35 519 251 10 frän en mellanliggande enheten för att använda för dess datapaket, kommer paketen att verifieras mot den mottagna adressen vilket resulterar i en lyckad verifiering av säkerhetsinformationen.
Vidare tillhandahålls enligt uppfinningen ett system för överförande av àtminstone ett datapaket fràn en första enhet till en andra enhet, varvid nämnda första enhet kommunicerar via en mellanliggande enhet, där varje enhet har àtminstone en adress, omfattande: organ vid nämnda första enhet för mottagande fràn den mellanliggande enheten av en adress av nämnda àtminstone en adresser identifierande nämnda mellanliggande enhet; organ vid nämnda första enhet för användande av nämnda mottagna adress som källadress vid formande av ett första datapaket i nämnda första enhet; organ för sändande av nämnda första datapaket från nämnda första enhet till nämnda mellanliggande enhet; och organ vid nämnda mellanliggande enheten för vidarebefordrande av nämnda första datapaket fràn nämnda mellanliggande enhet till nämnda andra enhet med användning av den hämtade adressen.
Härigenom tillhandahålls ett system som övervinner de ovan nämnda problemen. Fördelarna med systemet motsvarar de för metoden i enlighet med uppfinningen.
Kortfattade beskrivning av ritningarna I exemplifierande syfte skall uppfinningen nu beskrivas med hjälp av utföringsexempel, vilka illustreras pà de bifogade ritningar, pà vilka: Fig 1 är en schematisk vy av ett system i enlighet med ett utförande av uppfinningen; och Fig 2 är ett flödesschema illustrerade en metod i enlighet med ett utförande av uppfinningen.
Beskrivning av föredragna utföranden Uppfinningen avser en metod för paketbaserade datakommunikation mellan en första enhet 1 och en andra 10 15 20 25 30 35 519 251 šIfêiší-ífëïffï- ll enhet 3. Metoden är tillämplig när den första enheten 1 använder en mellanliggande enhet 2 för kommunicerande med andra enheter, såsom den andra enheten 3. Enheterna ovan kan vara vilken som helst typ av databearbetande enhet med kommunikationsorgan, såsom en mobilterminal, en persondator med nätverkskort osv. Enheterna kommunicerar via ett nätverk 4, Vilket kan vara ett LAN, ett trådlöst LAN eller dylikt, kombination av olika nätverkstyper. Dessa komponenter Internet, eller vilken som helst illustreras i fig 1. Detta utförande kommer nu att beskrivas i en TCP/IP-miljö. En fackman inom området inser dock att metoden är tillämpar i vilken som helst paketbaserad nätverksmiljö. I ett föredraget utförande av uppfinningen omfattar en första enhet en TCP/IP-stack 102, en eller flera adaptrar 105 och en IPSec-modul 103.
IPSec-modulen 03 är anordnad mellan TCP/IP-stacken 102 IPSec-modulen 103 och adaptrarna, dvs en BITS-lösning. kan användas för tillförande av autenticering, kryptering och/eller signering av data för att erhålla den önskade säkerheten. I ett annat utförande kan TCP/IP-stacken och IPSec-modulen implementeras i samma modul eller komponent, vilket indikeras av de streckade linjerna i fig 1.
Delarna av metoden i enlighet med föreliggande uppfinning implementeras företrädesvis i en funktionell modul 104 anordnad mellan IPSec-klienten 103 och adaptrarna 105. Den funktionella modulen tillhandhàller då organ för att hämta en IP-adress från den mellanliggande enheten. Då den funktionella enheten 104 är anordnad mellan TCP/IP-stacken 102 och adaptrarna 105 kan den uppfánga begäran från TCP/IP-stacken för en IP- adress. TCP/IP-adressen tillhandahålls då från den funktionella modulen 104 och inte en adapter 105.
Eftersom den funktionella modulen 104 kommer att tillhandahålla en IP-adress hämtad från den mellanliggande enheten 2, kommer datapaket som skapats i TCP/IP-stacken att ha denna adress som deras källadress. .._.š lO 15 20 25 30 35 u u n n u n o v. uu 519 251 l2 Sålunda kommer den funktionella modulen 104 att uppträda som en adapter för IPSec-modulen 103 och TCP/IP-stacken 102.
Den funktionella modulen 104 kommer då även att tillhandahålla organ för sändande av datapaket som skapats i TCP/IP-stacken 102 med användning av en adapter 105 hs den första enheten 1. genom tunnling av datapaket i ett annat datapaket.
Detta ser företrädesvis Tunnlingen omfattar aktiviteter såsom inkapsling och avkapsling. De inkapslade datapaketen kommer då att ha den verkliga I-adressen för en adapter 105 hos den första enheten 1.
Med största sannolikhet är den mellanliggande enheten 2 en NAT-server, en server som används i ett system med multipla kommunikationslänkar för àtersammanföring av datapaket, en extern agent i en mobil IP-lösning, eller liknande. Det är sålunda också sannolikt att den mellanliggande enheten 2 betjänar flera första enheter l. Den mellanliggande enheten 2 omfattar i ett föredraget utförande besvarande organ 201 för svarande på begäranden av IP-adresser från en första enhet 1. För att hantera multipla första enheter omfattar den mellanliggande enheten 2 företrädesvis flera reservationsorgan 202 för reserverande av en IP-adress till en specifik första enhet. I ett sådant utförande har den mellanliggande enheten ett flertal IP-adresser för användning med olika första enheter 1. När svar på datapaket mottas överförs dessa till den första enhet som sänt motsvarande datapaket. Eftersom den mellanliggande enheten har ett flertal IP-adresser har den en modul svarande på alla motsvarande ARP-paket som rundsänds på den mellanliggande enhetens sub-nät.
Den andra enheten 3 kan vara vilken som helst enhet med vilken den första enheten 1 kommunicerar och som utgör en del av den miljö där uppfinningen är tillämplig.
Den andra enheten 3 kan, såsom den första enheten, varav vilken som helst typ av databearbetande enhet som har ett lO 15 20 25 30 35 519 251 13 kommunikationsorgan, sásom en persondator med ett nätverkskort. Liksom den första enheten 1 omfattar den andra enheten i detta utförande ett applikationsskikt 301, en TCP/IP-stack 302, flera adaptrar 305. I ett annat utförande kan TCP/IP- en IPSec-modul 303 och en eller stacken 302 och IPSec-modulen 303 implementeras i samma modul, vilket indikeras av de streckade linjerna i fig 1.
För att tillhandahålla en säker överföring av datapaket frän den första enheten 1 till den andra enheten 3, tillför IPSec-modulen 103 säkerhet genom tillförande av kryptering, autenticieringsinformation och signering i enlighet med IPSec-protokollet. Detta löses dä i en motsvarade IPSec-modul 303 i den andra enheten efter mottagandet. Eftersom datapaketen som skapas av TCP/IP- stacken 102 i den första enheten 1 tunnlas till den mellanliggande enheten 2 där de avkapslas, uppträder de för den andra enheten 3 såsom om de vore sända av den mellanliggande enheten 2.
Nu skall stegen i en metod i enlighet med ett utförande av uppfinningen att beskrivas med hänvisning till fig 2. inte ansluten till ett nätverk.
I det inledande skedet är den första enheten I steg S1 ansluts den första enheten till nätverket med en av dess kommuni- kationsorgan, dvs adaptrar. Om en adapter inte har en fast IP-adress mäste detta tillhandahållas via nätverket.
IP-adressen kan exempelvis erhållas med användning av BOOT- eller DHCP-protokollet.
I ett steg S2 sänder den första enheten en anslut- ningsbegäran till den mellanliggande enheten, vilken begäran företrädesvis innehåller information om adaptrar- och na hos den första enheten, såsom deras IP-adresser, en identifikation av den första enheten. Företrädesvis innefattas även nàgon form av autenticiering i anslutningsbegäran, såsom ett login och lösenord.
I ett steg S3 tilldelar, och företrädesvis även reserverar, den mellanliggande enheten en av dess IP- adresser till den första enheten som svar pà 10 15 20 25 30 35 ' ' I I c u n ....,_~; 1 n.
I I 0 a u 519 251 14 anslutningsbegäran. Tilldelningen kan följa ett schema baserat pà den första enhetens identitet eller tilldelas dynamiskt. För att hälla reda pà alla tilldelanden kan dessa lagras i en lista, en databas eller liknande.
Dessa tilldelade adresser mottas vid den första enheten i ett steg S4. En kommunikationsbegäran från applikationen till TCP/IP-stacken för den första enheten kommer att resultera i att TCP/IP-stacken formar datapaket för att sändas med användning av adaptrarna. I ett steg S5 kommer sedan TCP/IP-stacken att fråga en adapter efter dess IP-adress. Adaptern kommer då att vara den funktionella modulen 104, vilken i ett steg S6 kommer att svara med IP-adressen som hämtats fràn den mellanliggande enheten 2.
I ett steg S7 tillförs sedan säkerhetsinformation, såsom ett autenticeringshuvud, kryptering och/eller en digital signatur, till datapaketet som skapats av TCP/IP- stacken 102 i IPSec-modulen 104. Detta nya datapaket kommer att föras ner till adaptern, såsom IPSec-modulen uppfattar det, dvs den funktionella modulen 104. Den funktionella modulen kommer sedan i ett steg S8 att kapsla in datapaketet och i steg S9 sända det med användning av en eller flera av adaptrarna 105 till den mellanliggande enheten 2.
Den mellanliggande enheten kommer i steg S10 att avkapsla datapaketet och i steg S11 att sända det till destinationsadressen för datapaketet. I ett steg S12 mottas datapaketet av den andra enheten 3 och datapaketet kommer att verifieras med användning av säkerhetsinformationen som tillförts i den första enheten. Det kan bli autenticerat, dekrypterat och/eller verifierat med hänsyn till vilken som helst digital signatur.
Uppfinningen har nu beskrivits med hjälp av föredragna utföranden. Dock skall omfattningen av denna uppfinning inte begränsas av detta utförande, och alternativa utföranden av uppfinningen är tänkbara, 10 519 251 15 vilket förstås av en fackman inom omrâdet. Exempelvis behöver säkerhetsprotokollet inte vara IPSec, eftersom problemen uppkommer vid alla liknande VPN-lösningar.
Sådana utförande skall anses vara inom ramen för uppfinningen, såsom den definieras av de bifogade patentkraven. . one...

Claims (12)

10 15 20 25 30 35 519 251 16 PATENTKRAV
1. Metod för paketbaserad datakommunikation mellan (3), kommunicerar via en mellanliggande enhet en första enhet (1) och en andra enhet varvid nämnda första enhet (1) (2), där varje enhet identifieras av àtminstone en adress, omfattande stegen att: vid nämnda första enhet (1) fràn nämnda mellanliggande enhet (2) inhämta en adress av nämnda åtminstone en adresser identifierande nämnda mellanliggande enhet; använda nämnda inhämtade adress som källadress vid formande av ett första datapaket i nämnda första enhet (1): överföra nämnda första datapaket fràn nämnda första enhet (1) (2); vidarebefordra nämnda första datapaket från till nämnda mellanliggande enhet och nämnda mellanliggande enhet till nämnda andra enhet med användning av den inhämtade adressen, varvid steget att sända nämnda första datapaket fràn nämnda första enhet (1) till nämnda mellanliggande enhet (2) omfattar understegen att: vid nämnda första enhet (1) kapsla in nämnda första datapaket i ett nytt datapaket som har en av nämnda åtminstone en adresser som identifierar nämnda första enhet som källadress; sändande av nämnda nya datapaket från nämnda första enhet (1) (2); vid nämnda mellanliggande enhet (2) avkapsla nämnda nya till den mellanliggande enheten och datapaket för att erhålla nämnda första datapaket i ursprunglig form.
2. Metod i enlighet med patentkrav 1, vidare omfattande steget att: reservera nämnda hämtade adress i den mellanliggande enheten. 10 15 20 25 30 35 f n a. 519 251 17
3. Metod i enlighet med patentkrav 2, varvid nämnda reservation är temporär och varar under en specificerad tidsperiod.
4. Metod i enlighet med något av föregående patentkrav, vidare omfattande steget att: vid nämnda första enheten (1) tillföra säkerhetsinformation baserat på nämnda hämtade adress till nämnda första datapaket.
5. Metod i enlighet med patentkrav 4, omfattande det ytterligare steget att: vid nämnda andra enhet (3) verifiera datan och överföringsinformation från nämnda första datapaket med användning av nämnda säkerhetsinformation.
6. Metod i enlighet med patentkrav 4 eller 5, varvid den tillförda säkerhetsinformationen är ett autenticieringshuvud.
7. metod i enlighet med något av föregående patentkrav, varvid datapaketen överförs och formas i enlighet med TCP/IP-protokollet.
8. Metod i enlighet med patentkrav 4, 5 eller 6 när de beror på patentkrav 7, varvid nämnda säkerhetsinformation tillförs med användning av IPSec- protokollet.
9. Metod i enlighet med nägot av ovanstående patentkrav, vidare omfattande stegen att: sända ett andra datapaket från nämnda andra enhet till nämnda mellanliggande enhet, varvid nämnda andra datapaket har en adress av nämnda åtminstone en adresser som identifierar nämnda mellanliggande enheten som destinationsadress; och 10 15 20 25 30 35 H H ---- cn"w 519 251 l8 tunnla nämnda andra datapaket fràn nämnda mellanliggande enhet till nämnda första enhet.
10. System för överförande av åtminstone ett datapaket från en första enhet (1) till en andra enhet (3), varvid nämnda första enhet (1) kommunicerar via en mellanliggande enhet (2), där varje enhet har ätminstone en adress, omfattande: organ vid nämnda första enhet (1) för mottagande från den mellanliggande enheten (2) av en adress av nämnda ätminstone en adresser identifierande nämnda mellanliggande enhet (2); organ vid nämnda första enhet (l) för användande av nämnda mottagna adress som källadress vid formande av ett första datapaket i nämnda första enhet (l); organ för sändande av nämnda första datapaket fràn nämnda första enhet (1) till nämnda mellanliggande enhet (2); OCh organ vid nämnda mellanliggande enhet (2) för vidarebefordrande av nämnda första datapaket fràn nämnda mellanliggande enhet (2) till nämnda andra enhet (3) med användning av den hämtade adressen varvid organen för att sända nämnda första datapaket fràn nämnda första enhet (1) till nämnda mellanliggande enhet (2) omfattar: organ i nämnda första enhet (1) för att kapsla in nämnda första datapaket i ett nytt datapaket som har en av nämnda åtminstone en adresser som identifierar nämnda första enhet som källadress; organ för sändande av nämnda nya datapaket fràn nämnda första enhet (l) till den mellanliggande enheten (2); och organ i nämnda mellanliggande enhet (2) för avkapslande av nämnda nya datapaket för att erhàlla nämnda första datapaket i ursprunglig form. lO 519 251 19
11. System i enlighet med patentkrav 10, omfattande organ vid nämnda första enhet (1) för tillförande av säkerhetsinformation baserat pà nämnda hämtade adress till nämnda första datapaket.
12. System i enlighet med patentkrav 10 eller 11, varvid nämnda första enhet omfattar en adapter för hanterande av en fysisk kommunikationsenhet och en nätverksstack, där organen för hämtande och sändande vid nämnda första enhet verkar mellan nämnda nätverksstack och nämnda första adapter. n rann-a
SE0004076A 2000-11-08 2000-11-08 En metod och ett system för överföring av paket mellan två olika enheter SE519251C2 (sv)

Priority Applications (5)

Application Number Priority Date Filing Date Title
SE0004076A SE519251C2 (sv) 2000-11-08 2000-11-08 En metod och ett system för överföring av paket mellan två olika enheter
EP01981284A EP1332577A1 (en) 2000-11-08 2001-11-08 A method for secure packet-based communication between two units via an intermedia unit
PCT/SE2001/002462 WO2002039657A1 (en) 2000-11-08 2001-11-08 A method for secure packet-based communication between two units via an intermedia unit
AU2002212939A AU2002212939A1 (en) 2000-11-08 2001-11-08 A method for secure packet-based communication between two units via an intermedia unit
US10/416,201 US20040037284A1 (en) 2000-11-08 2001-11-08 Method for secure packet-based communication between two units via an intermedia unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE0004076A SE519251C2 (sv) 2000-11-08 2000-11-08 En metod och ett system för överföring av paket mellan två olika enheter

Publications (3)

Publication Number Publication Date
SE0004076D0 SE0004076D0 (sv) 2000-11-08
SE0004076L SE0004076L (sv) 2002-05-09
SE519251C2 true SE519251C2 (sv) 2003-02-04

Family

ID=20281733

Family Applications (1)

Application Number Title Priority Date Filing Date
SE0004076A SE519251C2 (sv) 2000-11-08 2000-11-08 En metod och ett system för överföring av paket mellan två olika enheter

Country Status (5)

Country Link
US (1) US20040037284A1 (sv)
EP (1) EP1332577A1 (sv)
AU (1) AU2002212939A1 (sv)
SE (1) SE519251C2 (sv)
WO (1) WO2002039657A1 (sv)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI113127B (sv) 2002-06-28 2004-02-27 Ssh Comm Security Corp Överföring av allmänt sändade paket i säkrade kommunikationsförbindelser mellan datorer
JP3688664B2 (ja) * 2002-07-29 2005-08-31 株式会社東芝 中継装置及びネットワーク中継方法
US20080220420A1 (en) * 2004-11-19 2008-09-11 Shimadzu Corporation Method of Detecting Gene Polymorphism, Method of Diagnosing, Apparatus Therefor, and Test Reagent Kit
US20060176821A1 (en) * 2005-02-07 2006-08-10 Lucent Technologies Inc. Network bandwidth utilization verification method and apparatus through reciprocating and multiplicative message distribution
US8543808B2 (en) * 2006-08-24 2013-09-24 Microsoft Corporation Trusted intermediary for network data processing
US8667563B1 (en) * 2007-10-05 2014-03-04 United Services Automobile Association (Usaa) Systems and methods for displaying personalized content
US8347074B2 (en) * 2008-06-30 2013-01-01 The Boeing Company System and method for bend-in-the-wire adjacency management
US8627061B1 (en) * 2008-08-25 2014-01-07 Apriva, Llc Method and system for employing a fixed IP address based encryption device in a dynamic IP address based network
CN113542197A (zh) * 2020-04-17 2021-10-22 西安西电捷通无线网络通信股份有限公司 一种节点间保密通信方法及网络节点

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5347272A (en) * 1991-09-13 1994-09-13 Fuji Xerox Co., Ltd. System for determining communication routes in a network
CN1216657A (zh) * 1996-04-24 1999-05-12 北方电讯有限公司 互联网协议过滤器
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6118768A (en) * 1997-09-26 2000-09-12 3Com Corporation Apparatus and methods for use therein for an ISDN LAN modem utilizing browser-based configuration with adaptation of network parameters
US6640251B1 (en) * 1999-03-12 2003-10-28 Nortel Networks Limited Multicast-enabled address resolution protocol (ME-ARP)
NL1013273C2 (nl) * 1999-10-12 2001-04-17 Koninkl Kpn Nv Werkwijze en systeem voor het verzenden van IP berichten.

Also Published As

Publication number Publication date
SE0004076L (sv) 2002-05-09
SE0004076D0 (sv) 2000-11-08
WO2002039657A1 (en) 2002-05-16
EP1332577A1 (en) 2003-08-06
AU2002212939A1 (en) 2002-05-21
US20040037284A1 (en) 2004-02-26

Similar Documents

Publication Publication Date Title
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
US6816462B1 (en) System and method to determine connectivity of a VPN secure tunnel
US7533409B2 (en) Methods and systems for firewalling virtual private networks
CN101156420B (zh) 防止来自网络地址端口转换器napt所服务的客户机的重复源的方法
US6101543A (en) Pseudo network adapter for frame capture, encapsulation and encryption
US7852861B2 (en) Dynamic system and method for virtual private network (VPN) application level content routing using dual-proxy method
US7738457B2 (en) Method and system for virtual routing using containers
US7028337B2 (en) Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same
FI105739B (sv) Nätanslutbar anordning samt förfarande för dess installation och konfigurering
US7693187B2 (en) Integrated information communication system using internet protocol
EP1304830B1 (en) Virtual private network management
US20190327165A1 (en) Method and apparatus for tracing paths in service function chains
CN101288272A (zh) 隧道化安全性群组
US20090292917A1 (en) Secure transport of multicast traffic
CN110290093A (zh) Sd-wan网络架构及组网方法、报文转发方法
CN104272674A (zh) 多隧道虚拟专用网络
CN111385259B (zh) 一种数据传输方法、装置、相关设备及存储介质
JP4191119B2 (ja) 暗号化の層状の実施を促進する方法および装置
SE519251C2 (sv) En metod och ett system för överföring av paket mellan två olika enheter
US7248582B2 (en) Method and system for labeling data in a communications system
CN110752921A (zh) 一种通信链路安全加固方法
CN1937571A (zh) 在应用层实现vpn协议的系统及其方法
CN108064441B (zh) 一种加速网络传输优化方法以及系统
US20220210131A1 (en) System and method for secure file and data transfers
US7616625B1 (en) System and method for selective enhanced data connections in an asymmetrically routed network

Legal Events

Date Code Title Description
NUG Patent has lapsed