TWI225345B - Method and apparatus to manage address translation for secure connections - Google Patents

Method and apparatus to manage address translation for secure connections Download PDF

Info

Publication number
TWI225345B
TWI225345B TW091125067A TW91125067A TWI225345B TW I225345 B TWI225345 B TW I225345B TW 091125067 A TW091125067 A TW 091125067A TW 91125067 A TW91125067 A TW 91125067A TW I225345 B TWI225345 B TW I225345B
Authority
TW
Taiwan
Prior art keywords
address
internal
identification code
packet
patent application
Prior art date
Application number
TW091125067A
Other languages
English (en)
Inventor
Kjeld B Egevang
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Application granted granted Critical
Publication of TWI225345B publication Critical patent/TWI225345B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2564NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Machine Translation (AREA)

Description

(i) (i) 1225345 ,玖、發明說明 (發明說明應敘明:發明所屬之技術領域、先前技術、内容、實施方式及圖式簡單說明) 發明背t 由於在特別是網際網路的通訊網路上日漸傳輸較多敏感 資訊’所以網路安全保障變得逐漸重要。結果開發出於傳 輸期間用以保護資料的一些安全保障技術。然而,某些網 路連接技術可能需要存取經保護資料加以運作。又例如, 位址轉換准許一連接將一些位址轉換成一單一位址,反之 亦然’對於區域網路(LAN)而言尤其有用。然而,使用經 保護的資料可能很難執行位址轉換。因此,實質上需要執 行經保遵資料的位址轉換,同時保留此二技術的某些優 勢。
ΚΛ fl mjliL 視同本發明之具體實施例的主題將於說明書的結論部分 特別指出及明確主張。然而,藉由參照以下詳細說明,同 時閱謂附圖,可澈底了解本發明之具體實施例的組織與作 業方法,以及其目的,特性與優勢,其中: 圖1係適合貫施本發明一具體實施例•的一系統之方塊 圖。 圖2係根據本發明一具體實施例的一節點之方塊圖。 圖3係根據本發明一具體實施例的一程式分割之方塊 圖。 圖4係根據本發明一具體實施例由一確保連接位址管理 員(SCAM)所執行之處理邏輯的一第一方塊流程圖。 圖5係根據本發明一具體實施例的一 S(:AM之處理邏輯的 ι^Μ5 (2) 第二方塊流程圖。 圖6係根據本發明一具體實施例的一 第二方塊流程圖。 方;以下詳細說明中,將陳述多項特 本發明之具體實施例的通盤了解。然 可了解:沒有此等特定細節同樣可實 例。其他實例中將不詳細說明著名的方 電路’才不致混淆前面所述之本發明具 本發明之具體實施例可改良像是一封 訊網路之效能。本發明的一具體實施例 一 ”確保連接,,的一安全保障關聯(SA)之 叉換網路的效能。一从可定義二或更多 用以說明該等實體如何利用安全保障服 係以可視為實體間一合約的一組資訊代 協議及共享該資訊。有時候單獨將該資 通常為現存關係的一實體例子。提供允 作之協議的安全保障資訊,則以該資訊 會存在。 尤其,本發明的一具體實施例管理, 換。本文中的位址轉換指:將大量位址 一位址,反之亦然。本發明的一具體實 組4探而決定一封包的路由選擇資訊, 的位址轉換。結果,將改良一網路的整 SCAM之處理邏輯的 :細節,以便提供對 ,熟習此項技藝者 本發明之具體實施 法,程序,組件及 體實施例。 包交換網路的一通 藉由改良此處稱為 管理而改良一封包 實體間的一關係, 務確保通訊。此關 表。所有實體間應 訊稱為一 SA,但其 許實體確保交互運 所代表的此關係將 隹保連接的位址轉 轉換成較少或一單 施例可藉由使用一 以管理一確保連接 體容量與效能 (3)1225345
此,使用者可從網路應用與服務的更快速之響應時間中獲 益0 封包父換持續成為語音與資料通訊的一有效技術。本文 中的封包叉換指:以相對較短之封包形式於-網路上通訊 資訊。本又中的一封包指:具有有限長度的一組資訊,其 中通常以位元或位元組代表該長度。#包長度的_例子可 為1000位元組。— 網路節點。該等網 網路通常包含以一通訊媒體互連 路節點可使用一或更多通訊協定 的一 些 於通 訊媒體上與其他網路節點通訊資訊。本文中的一網路節點 包括像是一電腦,伺服器,交換器,路由器,橋接器,閘 道器等能夠通訊資訊的任何裝置。一通訊媒體可為像是雙 絞線,同軸電纜,光纖,射頻等能夠攜帶資訊信號的任何 媒體。一通訊協定包含於通訊媒體上供通訊資訊信號用的 一組指令。例如,該通訊協定可為像是如丨9 8 i年9月採用 之網間工程任務編組(IETF)標準7,備柱要求(RFC)793所定 義的傳輸控制協定(TCP) (”TCP”規格),以及如1981年9月 採用之IETF標準5,RFC 791所定義的網際網路協定(ip) 規格)的一封包交換協定,兩者可從丨丨www.ietforg丨丨取得(此 處統稱為"TCP/IP規格”)。 一封包交換網路包含像是一來源節點,一目的地節點, 及中間節點的一些網路節點。來源節點包含用以遞送至目 的地節點的一組資訊所發端的一節點。該資訊包含能夠以 像是一電子信號,光學信號,聲響信號的一信號代表的任 何資料。本文中之資訊的例子可包括來自一語音會話,视 (4) 訊會議’串流視訊,電 电于郵件("email”)訊息,語立翻 息,圖形,影像,視訊,内文m 曰郵件訊 用以接收資訊的—節點。::寺…目的地節點包含 ’·、 中間節點包含從來源節點? 3的 地節點通訊資訊的節點。 ”,、目的 為了韬助一來源節點,中諮 與一目的地即點間的路由 · <评貝Λ,將指派給每一笳 是一 IP位址的一網路位址。 母即點像 於作業中,來源節點可透 咬遇一或更多中間節 形式,將資訊傳送至目的 、匕 L即點。來源節點將一 解成一連串封包。毐一射6 肝、、且貝口凡刀 W . 母封包可包含一部分資訊加上某此栌 ,^ ^ s A 略中的中間郎點將每一封包路 由選擇土目的地節點。來# A源即點於網路上傳送封包 一中間節點接收封包,覃Λ f °八中 間早加以儲存,並且傳至下一中間 節點。繼續如此發生,直 直巧取後目的地節點接收整個一連 串封包’並且再生夹自立 丹生不自來源即點的資訊為止。 封包通常以”清楚内文”值 又傳运。表示任何裝置均可存取一 封包内包括標頭資訊與封包資料 , 」匕具针的資訊。某些情況下,可 能希望使用一安全保障技输P六+ 孜竹防止未經授權使用者或裝置存 取封包資訊。可使用像是根據如IETF RFC讀,24G6,2407, 2408 2409及其他中所疋義的—❽安全保障(“㈣〜,)協定 ::的—些安全保障技術保護封包。-安全保障通訊協定 ::包括於傳輸期間用以保護—資料封包的加密與解密演 裝/ °例如當使用與其他網路節點共享的實體連接建立兩 置間的一虛擬專用網路(VPN)時很有用。 於本發明的-具體實施例中,—確保連接可例如根據 (5) 發明說明續頁, 1 9 9 8年1 1月公佈之標題’’網際網路安全保障關聯與金鑰管 理通訊協定"WIETF建議標準,RFC 2408(nISAKMPn規格)而 建立。ISAKMP規格中說明利用可用以建置一網際網路環 境中確保連接與加密金鑰之安全保障觀念的一通訊協定。 例如,ISAKMP規格可提供建置協商實體間一確保連接的 通訊協定交換,接著此等協商實體以某種通訊協定建置一 確保連接。此一通訊協定的例子如1998年1 1月公佈之IETF 建議標準RFC 2406陳述的IP封裝安全保障協定(ESP)中所述 的一通訊協定(,’ESP規格’’)。IS AKMP規格可進一步定義用 於鑑定一通訊同級之程序,確保連接之建立與管理,金鑰 產生技術,以及威脅減緩(例如:杜絕服務與答覆之攻擊)。 希望能具有所有此等功能,以便於一網際網路環境中建置 及維護確保通訊。 然而,對於被配置以執行網路位址轉換(NAT)之網路節 點而言,確保連接與加密封包可能產生一問題。NAT促成 像是一 LAN的一網路使用内部流量(π内部位址π)的一組IP位 址及外部流量(π外部位址")的一第二組位址。例如,一 NAT 裝置被操作以作為一 LAN與另一網路間的一閘道器,其中 LAN上每一網路節點(”内部節點π)具有一分離的内部位 址。當來自LAN的一網路節點傳送一封包給LAN外面的一 網路節點(π外部節點f’)時將通過NAT裝置。NAT裝置可將内 部節點的内部位址轉換成所有内部節點共享的一外部位 址。類似地,當一外部節點傳送一封包給一内部節點時, NAT裝置可將共享的外部位址轉換成適當之内部節點的一 1225345 (6) 爹興說明續頁; 内部位址。如此可提供一些優勢,像是增加一客戶或組織 的IP位址數,以及降低與其他公司及組織使用之IP位址衝 突的可能性。然而,一 NAT裝置通常需要來自一封包標頭 的資訊以適當執行NAT。此資訊例如包含IP位址及使用者 資料報協定(UDP)或TCP璋號。一 NAT裝置可能無法從一加 密封包擷取這類資訊。
由於某些原因,此問題的傳統解決方案無法令人滿意。 例如,一解決方案於執行NAT前將加密封包封裝成UDP或 TCP封包。然而,其可能為許多傳統網路節點無法被配置 以執行的一專屬方法。另一解決方案則包括一 NAT裝置以 作為確保連接的一部分。由於NAT裝置的使用者可以存取 確保連接上傳送的資訊,所以其將建立一潛在的安全保障 分支。
以下詳細說明的本發明之具體實施例將以可減少或減緩 此等及其他問題的一方式管理確保連接上的位址轉換。於 本發明的一具體實施例中,一確保連接位址管理員(SCAM) 可管理内部節點與外部節點間的一確保連接清單。此處將 此清單稱為一”流清單"。本文中的一”流”指:例如包含或 者與一確保連接相關之封包的一封包流。SCAM可藉由監 視用以指定一流之開始的一特殊加密封包而建立流清單。 於本發明的一具體實施例中,SCAM監視具有序號壹(1)的 一 ESP封包。通常,具有此序號的ESP指示一封包流的開始。 然後SCAM記錄伴隨接收ESP時的一時間戳記之ESP封包識 別碼,作為流清單的一部分。識別碼的一例可為用以輔助 -10- 1225345 ⑺ 識別一ESP封包的一安全保障參數索y Μ °當SCAM接收 來自一外部節點具有一外部位址的— tSP封包而且其目的 地位址為一 LAN中的内部節點之一時,s 試圖匹配該外 部節點之ESP封包的一識別碼與流清鼙由^ 早中儲存的一 ESP封包 其一識別碼。例如,SCAM可從清單中 、 選擇具有最舊時間 戳記的一 ESP封包識別碼。於本發明—叛 贷代之具體實施例 中,SCAM可決定何ISAKMP流為最近翊m 兄用,進而將封包轉 送至適當的内部位址。以下將詳細說明士 & 本發明之具體實施 例。 值得注意的是·於本文中’說明金φ女 曰中有關·,一具體實施 例”之任何參考表示結合至少一本發明夕 月艾具體實施例所 含之具體實施例加以說明的一特殊特性,从w 於 庄結構或特徵 施例中,'未必指相同 說明書中多處出現的片語”於一具體實 的具體實施例。
現在詳細參照圖式,其中從頭至尾以如I 悉以相似的參考號螞 定相似的部分,圖1中圖例說明適合會说士& n 曰 男她本發明一具體备
施例的一系統。圖1係一系統100的—古祕 H 乃观圖,其中包含 接至一網路104的一網路節點1〇2。網路節點1〇6以及經由— LAN108的網路節點11〇與112均連接至網路1〇4。雖然=圖 顯示有限個網路節點,但可以明白:系統1〇〇中可使 意數目的網路節點而仍於本發明之範圍内。再者, 中,”連接”與”互連”等名詞及其變化指實體連接以及 於本文 /或者 邏輯連接。 配 於本發明的一具體實施例中,網路節點102可為能夠 1225345 (8) —^_
Lwasiw ——— 置與像是網路節點110以及/或含,m 箐112寺一目的地節點的一確 保連接的一來源節點。網路節 即點102可為上述一外部節點 的一例。網路節點106可為像是姑舶番以·' 疋破配置以執行網路節點ιι〇 與Π2之NAT的一路由器之類的網路節點。於本發明的一且 體實施例中,LANH)8包含被配置以根據一或更多乙^ (Ethernet)通訊協定相互通訊的牺玫誌科彳Λ h周路即點106、u〇與U2。網 路節點Η0與Η2可為上述一内部節點的例子。於本發明的 -具體實施例中’網路ΗΜ可包含被配置以根據像是Μ· 規格的一或更多網際網路通訊協定而通訊資訊的網路節 點0 於本發明的一具體實施例中,網路節點1〇2可被配置與 像是網路節點11 〇或112的另一網路節點建置一確保連接。 網路節點110與112同樣被配置與像是網路節點1〇2的另一網 路節點建置一確保連接。於本發明的一具體實施例中,網 路節點102、110與112可根據ISAKMP規格與ESP規格建立一 確保連接’然而本發明之具體實施例不以本文為限。 圖2係根據本發明一具體實施例的一節點之方塊圖。圖2 中圖例說明代表圖1所示之任何網路節點的一節點200,包 括被配置以執行NAT的網路節點106。網路節點1〇6可例如 根據2001年1月公佈之標題”傳統巧網路位址轉換器,,的RFC 2022中定義的資訊規格("NAT規格”),以及根據此處陳述之 原理加以修正而執行NAT。 郎點2 0 0可包含一電腦平台。於本發明之此具體貫施例 中,節點200包含一處理器202,一輸入/輸出(I/O)配接器 -12- 1225345 (9) 發明說明續頁.
204,一操作員介面206,及一記憶體210。記憶體210可儲 存電腦程式指令與資料。處理器202可執行程式指令,及 處理記憶體210中儲存的資料。I/O配接器204可與其他裝置 通訊,以及於連接224上傳輸進出中間節點200的資料。操 作員介面206可提供一使用者與OS216間的一介面。操作員 介面206可於使用者與OS216間通訊命令,並且提供狀態資 訊給使用者。所有元件藉由允許資料於元件間相互通信的 匯流排208互連。I/O配接器204代表可連接至例如像是網路 200之區域或廣域網路的一或更多I/O配接器或網路介面。 因此,連接224可代表與一網路的一連接,或者與其他設 備的一直接連接。可以明白··節點200可具有任意數目的I/O 配接器204與連接224之類的I/O配接器與連接而仍於本發明 之範圍内。
處理器202為能夠提供實行本發明之具體實施例希望的 速度與功能的任何類型之處理器。例如,處理器202可為 來自Intel公司、Motorola、Compaq、AMD公司與SUN微系統 所製造的一處理器家族中一處理器。 記憶體2 1 0包含可儲存被調整以便由一處理器執行之指 令的任何媒體。這類媒體的一些例子包含但不限於唯讀記 憶體(ROM)、隨機存取記憶體(RAM)、可程式化ROM、可 抹除可程式化ROM、電子可抹除可程式化ROM、動態RAM、 磁碟(例如:軟碟與硬碟)、光碟(例如:CD-ROM)以及可儲 存數位資訊的任何其他裝置或信號。於一具體實施例中, 可以一壓縮以及/或者加密格式將指令儲存於該媒體中。 -13- 1225345 (ίο) 發明、說、明續,頁 此處使用之片語“被調整以便由一處理器執行”表示包 括:以一壓縮以及/或者加密格式儲存的指令,以及於處 理器執行前藉由一安裝器加以編譯或安裝的指令。再者, 節點200包含透過其他I/O控制器之機器可讀取儲存裝置的 各種組合,其可由處理器202存取,而且能夠儲存電腦程 式指令與資料的一組合。 於本發明的一具體實施例中,記憶體210包含一作業系 統216、一程式分割212與一資料分割214。程式分割212可 儲存及允許處理器202執行用以實行像是網路節點102、 106、110與112等此處所述的每一各別節點之功能的程式指 令。資料分割2 14可儲存程式指令執行期間使用的資料。 I/O配接器204可為包含任何適當技術的一網路介面,其 中該技術使用一組希望的通訊協定、服務與操作程序控制 網路裝置間的通訊信號。於本發明的一具體實施例中,I/O 配接器204根據TCP/IP規格而作業,但是本發明之具體實施 例不以本文為限。 I/O配接器204同時包括用以連接I/O配接器204與一適當 通訊媒體的連接器。熟習此項技藝者將了解:1/〇配接器204 可於像是雙绞線、同軸電纜、光纖、射頻等任何適當的通 訊媒體上接收資訊信號。 圖3係根據本發明一具體實施例的一程式分割之方塊 圖。圖3中圖例說明具有一確保連接位址管理員(sCAM)3〇〇 的一程式分割。於此具體實施例中,SCam3〇〇包含用以管 理像是網路節點106的一 NAT裝置上之確保連接的位址轉換 1225345 (ii) - S s S V -s 、、八 Λ » / V 發f說喝續頁; 之程式指令。尤其’ SCAM300可利用此處分別稱為一流模 組302、一轉換模組304及一通訊模組3〇6的三個程式指令 集。當然,本發明之範圍不限於此等特殊指令集。 參照圖4 一 6與附加之例子進一步說明系統1〇〇與2〇〇以及 模組300、302、304與306的作業。雖然如此處所表達,圖4 一 6可包括一特殊處理邏輯,但可了解:處理邏輯僅提供 如何貝^亍此處所述的一般功能的例子。再者,除非另有指 示,否則一給定處理邏輯内的每一作業不必以所表達的次 序執行。 圖4係根據本發明一具體實施例的一 scam所執行之處理 邏輯的一第一方塊流程圖。處理邏輯4〇〇中圖例說明一種 官理確保連接之位址轉換的方法。於方塊4〇2,接收具有 一識別碼與代表複數個内部位址的—外部位址的一加密封 包。於方塊404 ’選定内部位址之一。於方塊4〇6,將加密 封包通訊至選定的内部位址。 圖5係根據本發明一具體實施例的一 SCAM所執行之處理 邏輯的一第二方塊流程圖。處理邏輯5⑽中圖例說明一種 管理確保連接之位址轉換的方法,特別是從一流清單中選 擇一内部位址。於方塊5〇2 ,搜尋具有相關時間的一識別 碼清單。於方塊5〇4,選擇具有一最早時間的一識別碼。 於方塊506,擷取與選定之識別碼相關的一内部位址。 元本發明的一具體實施例中,搜尋_清單如下。首先建 丄流⑺單。然後搜尋建立的清單。藉由接收來自與上述 内部位址之一相關的一裝置而且具有一預定序號與一識別 -15- ___I >* 1225345 (12) rsSwi" ί- Γ 、 '、'、 碼的一加密封包而建立清單。當接收封包時,則決定一時 間。結合該時間和内部位址與識別螞,並且儲存於記憶體 中 〇 於本發明的一具體實施例中,例如根據ISAKMP規格將 封包加密。加密封包例如為一 ESP加密封包。該識別碼例 如為一 SPI。
於本發明的一具體實施例中,可能未找到加密封包的一 内部位址,或者已將加密封包傳送至不正確的内部位址。 此情況下,NAT裝置接收將加密封包通訊至一不正確之内 部位址的一訊息,並決定於複數個内部位址所代表的每一 裝置終止之每一隧道的一活動位準。然後將加密封包通言 至具有一最高活動位準之隧道的一内部位址。 圖6係根據本發明一具體實施例的〜Scam所執行之處无 邏輯的一第三方塊流程圖。處理邏輯6〇〇中圖例說明一矛 管理確保連接之位址轉換的方法。於方塊6〇2,建立一食 別碼清單。該清單中的每-識別碼代表於具有—内部位力 的-裝置終止的-隧道。於方塊6〇4,將每一内部位址車 =成一外部位址。於方塊606,接收具有外部位址的一力 密封包。於方塊608 Μ吏用識別碼清單選擇内部位址之一 於方塊㈣’將加密封包通訊至選定的内部位址。 將使用以下例子進一步說明系統1〇〇與200,以及模!」 3〇〇ϋ與概。假設:其中指導像是網路節點⑴白 一網路節點與網路節點102建立-確保連接、網路節點η 例如根據1SAKMP規格協商確保連接。例如,跳ΜΡΜ -16 - 1225345
(13)
提供用以建置協商實體間一確保連接的通訊協定交換,接 著由此等協商實體以某種通訊協定建置一確保連接。此一 通訊協定的一例可為ESP規格中陳述的一通訊協定。首先, 一初始通訊協定交換允許協議一組基本的安全保障屬性。 該基本組提供後續ISAKMP交換的保護。同時指示當作 ISAKMP通訊協定的一邵分而執行的鑑定方法與金瑜交 換。於協議該組基本安全保障屬性後,則鑑定初始實體, 並且產生要求的金鑰,引動ISAKMP的實體可於後續通訊 中使用建置的SA。
如設定確保連接之協商處理的一部分,網路節點110開 始經由網路節點106傳送封包給網路節點102。於本發明的 一具體實施例中,網路節點106為被配置以根據NAT規格執 行NAT的一路由器。網路節點106同時以像是SCAM3000的 一 SCAM加以配置。網路節點106通知ISAKMP使用之UDP流 其來源/目的地位址以及來源/目的地埠。對於從LAN1 08發 端的所有封包,網路節點106將網路節點11〇的内部位址轉 換成網路節點106使用的一單一外部位址。 類似地’假設網路節點Π2亦開始使用ISAKMP經由網路 節點106連至網路節點1〇2的一確保連接協商處理。則網路 節點106執行與網路節點i 1〇之確保連接所執行相同的通知 及轉換處理。如果網路節點U2的UDP來源埠與網路節點1 1〇 的UDP來源埠相同,則將其轉換成一未使用值。 假設網路節點1 1〇傳送其第一加密ESp封包。流模組3〇2使 用ESP封包建立一流清單。流清單可例如藉由檢驗一確保 -17- 1225345 (14) 發明說确續頁 連接之協商而建立。於此例子中,一確保連接可根據 ISAKMP規格而建立。根據ISAKmP規格,所有確保連接均 使用一特殊埠號500加以建立。流模組302可被配置以監視 具有一離埠目的地埠5〇〇或入站來源埠5〇〇的所有封包流, 而且擴取具有像是一特殊序號··序號1之所有Esp封包的一 SPI °此封包通常識別一封包流的開始。SCAm3〇〇的流模組 302接收此ESP封包,並擷取其spi。然後流模組302將擷取 的SPI與一時間戳記伴隨網路節點π〇的内部位址儲存於其 流表中。然後例如由通訊模組306將ESP封包轉送至網路節 點 102。 假設網路節點112傳送其第一 ESP封包。然後流模組302使 用此封包的SPI與時間戳記以及網路節點1丨2的内部位址於 流表中建立一新項目。 網路節點102傳送其第一 ESP封包給網路節點106。其係因 為網路節點1 10與112傳送至網路結點1〇2之ESP封包的接收 目的地位址為以一單一外部位址識別的網路節點丨〇6。網 路節點106現在必須決定來自網路節點1〇2的ESP封包欲傳給 網路節點110或網路節點112。SCAM300的轉換模組304可藉 由搜尋流清單中序號為1之最舊未匹配ESP封包而完成。由 於最舊的ESP來自網路節點11〇,所以轉換模組304擷取網路 節點110的初始位址,並將此資訊傳至通訊模組3 〇6。通訊 模組306使用擷取的内部位址將來自網路節點1〇2的ESP封包 轉送至網路節點110。之後,網路節點1〇6將以相同SPI當作 第一 ESP封包的封包轉送至相同的内部位址。 1225345 (15) 發明說明續頁、
網路節點102傳送一第二ESP封包給網路節點106。網路節 點106現在必須再次決定來自網路節點102的ESP封包欲傳給 網路節點1 10或網路節點112。轉換模組304存取其流表以搜 尋流清單中序號為1之最舊未匹配ESP封包。其為來自網路 節點112的ESP封包。轉換模組304擷取網路節點112的内部 位址,並將此資訊傳至通訊模組306。通訊模組306使用擷 取的内部位址將來自網路節點102的ESP封包轉送至網路節 點112。之後,網路節點106將以相同SPI當作第二ESP封包 的封包轉送至相同的内部位址。 雖然如此處所述,已經圖例說明本發明之具體實施例的 某些特性,但熟習此項技藝者可提出許多修正,替代,改 變及等價的實施例。因此,應了解:希望附加之申請專利 範圍可以函蓋本發明之具體實施例其真正精神所包含的所 有此等修正與改變。
圖式代表符號說明 100系統 102, 106, 1 10, 1 12, 200 網路節點 104網路 202處理器 204輸入/輸出配接器 206操作員介面 208匯流排 210記憶體 212程式分割 -19- 1225345
S11SIS (16) 2 14資料分割 2 1 6作業系統 224連接 3 00確保連接位址管理員 3 02流模組 304轉換模組 3 06通訊模組
-20-

Claims (1)

1225345
125067號專利申請案 請專利範圍替換本(93年6月) 拾、申請鲁利範圍 1. 一種用來管理確保連接之方法,包含: 接收具有一識別碼與代表複數個内部位址的一外部位 址的一加密封包; 選擇該内部位址之一;及 將該加密封包通訊至該選定的内部位址。
2. 如申請專利範圍第1項之方法,其中該選擇包含: 搜尋具有相關時間的一識別碼清單; 選擇具有一最早時間的一識別碼;以及 擷取與該選定之識別碼相關的該内部位址。 3. 如申請專利範圍第2項之方法,其中該搜尋包含: 建立該清單;及 搜尋該建立的清單。 4. 如申請專利範圍第3項之方法,其中該建立包含:
接收來自與該内部位址之一相關的一裝置,而且具有 一預定序號與一識別碼的一加密封包; . 決定接收該加密封包的一時間; 結合該時間和該内部位址與該識別碼;及 儲存該相關時間和相關内部位址與該識別碼。 5. 如申請專利範圍第1項之方法,其中該封包係根據網際網 路安全保障關聯與金鑰管理協定(ISAKMP)而加密。 6. 如申請專利範圍第1項之方法,其中該加密封包係一網際 網路協定(IP)封裝安全保障封包承載(ESP)加密封包。 7. 如申請專利範圍第1項之方法,其中該識別碼係一安全 1225345
申請專利範圍續頁 保障參I索引(SPI)。 8. 如申請專利範圍第1項之方法,其中該識別碼代表兩裝置 間的一隨道,而且進一步包含: 接收將該加密封包通訊至一不正確之内部位址的一訊 息; 決定於該複數個内部位址所代表的每一裝置終止之每 一隧道的活動位準;及
將該加密封包通訊至具有一最高活動位準之隧道的一 内部位址。 9. 一種用來管理確保連接之方法,包含: 建立一識別碼清單,其中每一識別碼代表於具有一内 部位址的一裝置終止的一隧道; 將每一内部位址轉換成一外部位址; 接收具有該外部位址的一加密封包; 使用該識別碼清單選擇該内部位址之一;及
將該加密封包通訊至該選定的内部位址。 10. 如申請專利範圍第9項之方法,其中該隧道係根據網際網 路安全保障關聯與金鑰管理協定(ISAKMP)而建立。 11. 如申請專利範圍第9項之方法,其中該加密封包係一網際 網路協定(IP)封裝安全保障封包承載(ESP)加密封包。 12. 如申請專利範圍第9項之方法,其中該識別碼係一安全保 障參數索引(SPI)。 13. 如申請專利範圍第9項之方法,其中該選擇包含: 搜尋具有相關時間的該識別碼清單; -2- 1225345
申請專利範圍續頁 選擇具有一最早時間的一識別碼;及 擷取與該選定之識別碼相關的該内部位址。 14. 如申請專利範圍第9項之方法,其中該建立包含: 接收來自與該内部位址之一相關的一裝置而且具有一 識別碼的一加密封包; 決定接收該加密封包的一時間;
結合該時間和該内部位址與該識別碼;及 儲存該識別碼與該相關時間和内部目的地位址。 15. —種確保連接管理員,包含: 用以建立一識別碼清單的一流模組,其中每一識別碼 代表具有一内部位址的一裝置終止之一確保流;及 用以選擇具有一外部位址與一流識別碼的一加密封包 之内部位址的一轉換模組。 16. 如申請專利範圍第1 5項之確保連接管理員,進一步包含:
用以將該加密封包通訊至該選定之内部位址的一通訊 模組。 17. —種用來管理確保連接之系統,包含: 用以將加密封包傳送至一外部位址的一第一網路節 點; 用以接收該加密封包,並將該外部位址轉換成一内部 位址的一第二網路節點;及 具有該内部位址以接收該加密封包的一第三網路節 點。 18.如申請專利範圍第17項之系統,其中該第二網路節點係 1225345:, ya 6. -3 ... 一 ·- 被 19.如 節 理 20·如 網 21·如 用 ^一 接 22. ^ 其 部 址 23. 如 時 識 間 位 24. 如 時 申請專利範圍續頁 g己置以執行自然位址轉換(NAT)的一路由器。 _請專利範圍第17項之系統,其中該第一與第三網路 點被配置以使用根據網際網路安全保障關聯與金鑰管 换定(ISAKMP)所建立的一隧道進行通訊。 申請專利範圍第17項之系統,其中該加密封包係網際 路協定(IP)封裝安全保障封包承載(ESP)加密封包。 申請專利範圍第17項之系統,其中該第二網路節點使 /流識別碼清單執行該轉換,其中每一流識別碼代表 安全保障參數索引(SPI),而且具有一相關内部位址與 受時間。 種管理確保連接的物品,包含: 一儲存媒體; 儲存媒體包含儲存的指令,當由一處理器執行時, 致藉由接收具有一識別碼與代表複數個内部位址的 部位址的一加密封包而管理一確保連接,選擇該内 址之一,以及將該加密封包通訊至該選定的内部位 申請專利範圍第22項之物品,其中當由一處理器執行 ’儲存的指令進一步導致藉由搜尋具有相關時間的一 別碼清單而選擇該内部位址之一,選擇具有一最早時 的一識別碼,以及擷取與該選定識別碼相關的該内部 址 ° 申請專利範圍第23項之物品,其中當由一處理器執行 ’儲存的指令進一步導致藉由建立該識別碼清單並且
-4- 申請專利範圍續頁 搜尋該.建立的清單而搜尋該清單。 25:申請專利範圍第24項之物品,其中當由一處理器執行 、、儲存的指令進一步導致藉由接收來自與該内部位址 < 一相關的一裝置而且具有一預定序號與一識別碼的一 ·:十包而建立#清單,決定接收該加密封包的一日寺 結合該時間和該内部位址與該識別碼,以及儲存該 减別碼與該相關時間和相關内部位址。 6· 種皆理確保連接的物品,包含: 一儲存媒體; 該儲存媒體包含儲存的指令,當由一處理器執行時, 其導致藉由建立一識別碼清單而管理確保連接,其中每 一識別碼代表於具有一内部位址的一裝置終止的一隧 道,將每一内部位址轉換成一外部位址,擷取具有該外 部位址的一加密封包,使用該識別碼清單選擇該内部位 π之一,以及將該加密封包通訊至該選足的内部位址。 27.如申請專利範圍第%項之 時,儲存的指令進一步導 識別碼清單而選擇該内部 間的一識別碼’以及擴取 物品,其中當由一處理器執行 致藉由搜尋具有相關時間的該 位址之一 ’選擇具有一最早時 與該選定識別碼相關的該内部
位址。 28.如申請專利範圍 時,儲存的指令 之一相關的一裝 立該識別碼清單 第26項之物品,其 進一步導致藉由接 置而且具有一識別 ,決定接收該加密 中當由一處理器執行 收來自與該内部位址 碼的一加密封包而建 封包的一時間,結合 1225345 93/6. -3 I申請專利範圍續頁 該時間_和該内部位址與該識別碼,以及儲存該識別碼與 該相關時間和内部目的地位址。
-6-
TW091125067A 2001-11-07 2002-10-25 Method and apparatus to manage address translation for secure connections TWI225345B (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/005,972 US7159109B2 (en) 2001-11-07 2001-11-07 Method and apparatus to manage address translation for secure connections

Publications (1)

Publication Number Publication Date
TWI225345B true TWI225345B (en) 2004-12-11

Family

ID=21718646

Family Applications (1)

Application Number Title Priority Date Filing Date
TW091125067A TWI225345B (en) 2001-11-07 2002-10-25 Method and apparatus to manage address translation for secure connections

Country Status (8)

Country Link
US (1) US7159109B2 (zh)
EP (1) EP1444775B1 (zh)
CN (1) CN100576849C (zh)
AT (1) ATE368956T1 (zh)
AU (1) AU2002348164A1 (zh)
DE (1) DE60221557T2 (zh)
TW (1) TWI225345B (zh)
WO (1) WO2003041268A2 (zh)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI118170B (fi) 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
CN1232080C (zh) * 2002-05-15 2005-12-14 华为技术有限公司 网络中节省ip地址提供内部服务器的方法
US7657616B1 (en) 2002-06-10 2010-02-02 Quest Software, Inc. Automatic discovery of users associated with screen names
US7707401B2 (en) * 2002-06-10 2010-04-27 Quest Software, Inc. Systems and methods for a protocol gateway
AU2003239220A1 (en) 2002-06-10 2003-12-22 Akonix Systems, Inc. Systems and methods for a protocol gateway
US7774832B2 (en) * 2002-06-10 2010-08-10 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US7428590B2 (en) * 2002-06-10 2008-09-23 Akonix Systems, Inc. Systems and methods for reflecting messages associated with a target protocol within a network
US20080196099A1 (en) * 2002-06-10 2008-08-14 Akonix Systems, Inc. Systems and methods for detecting and blocking malicious content in instant messages
US7818565B2 (en) * 2002-06-10 2010-10-19 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
GB0216000D0 (en) * 2002-07-10 2002-08-21 Nokia Corp A method for setting up a security association
US7603613B2 (en) * 2005-02-17 2009-10-13 Samsung Electronics Co., Ltd. Viterbi decoder architecture for use in software-defined radio systems
EP1946217A2 (en) 2005-11-03 2008-07-23 Akonix Systems, Inc. Systems and methods for remote rogue protocol enforcement
JP2007165990A (ja) * 2005-12-09 2007-06-28 Hitachi Ltd Ipアドレス変換方法及び情報処理装置
US8069401B2 (en) * 2005-12-21 2011-11-29 Samsung Electronics Co., Ltd. Equalization techniques using viterbi algorithms in software-defined radio systems
US7809003B2 (en) * 2007-02-16 2010-10-05 Nokia Corporation Method for the routing and control of packet data traffic in a communication system
JP2009111437A (ja) * 2007-10-26 2009-05-21 Hitachi Ltd ネットワークシステム
US9369302B1 (en) * 2008-06-24 2016-06-14 Amazon Technologies, Inc. Managing communications between computing nodes
US8228848B2 (en) * 2008-11-17 2012-07-24 Sierra Wireless, Inc. Method and apparatus for facilitating push communication across a network boundary
GB2478470B8 (en) 2008-11-17 2014-05-21 Sierra Wireless Inc Method and apparatus for network port and netword address translation
US8924486B2 (en) * 2009-02-12 2014-12-30 Sierra Wireless, Inc. Method and system for aggregating communications
EP2673927A4 (en) 2011-02-08 2016-08-24 Sierra Wireless Inc METHOD AND DATA-TRANSFER SYSTEM BETWEEN NETWORK DEVICES
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10284526B2 (en) * 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) * 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11095617B2 (en) 2017-12-04 2021-08-17 Nicira, Inc. Scaling gateway to gateway traffic using flow hash
US11075888B2 (en) * 2017-12-04 2021-07-27 Nicira, Inc. Scaling gateway to gateway traffic using flow hash
US11347561B1 (en) 2018-04-30 2022-05-31 Vmware, Inc. Core to resource mapping and resource to core mapping
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US11277343B2 (en) 2019-07-17 2022-03-15 Vmware, Inc. Using VTI teaming to achieve load balance and redundancy
US11509638B2 (en) 2019-12-16 2022-11-22 Vmware, Inc. Receive-side processing for encapsulated encrypted packets
US11425043B2 (en) 2020-06-16 2022-08-23 T-Mobile Usa, Inc. Duplex load balancing for massive IoT applications
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US12113773B2 (en) 2021-06-07 2024-10-08 VMware LLC Dynamic path selection of VPN endpoint
US12107834B2 (en) 2021-06-07 2024-10-01 VMware LLC Multi-uplink path quality aware IPsec
US11863514B2 (en) 2022-01-14 2024-01-02 Vmware, Inc. Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs
US11956213B2 (en) 2022-05-18 2024-04-09 VMware LLC Using firewall policies to map data messages to secure tunnels

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6119171A (en) * 1998-01-29 2000-09-12 Ip Dynamics, Inc. Domain name routing
US7058973B1 (en) 2000-03-03 2006-06-06 Symantec Corporation Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses

Also Published As

Publication number Publication date
US7159109B2 (en) 2007-01-02
US20030088787A1 (en) 2003-05-08
DE60221557T2 (de) 2008-04-24
EP1444775B1 (en) 2007-08-01
EP1444775A2 (en) 2004-08-11
WO2003041268A2 (en) 2003-05-15
CN1586064A (zh) 2005-02-23
WO2003041268A3 (en) 2004-01-29
AU2002348164A1 (en) 2003-05-19
DE60221557D1 (de) 2007-09-13
CN100576849C (zh) 2009-12-30
ATE368956T1 (de) 2007-08-15

Similar Documents

Publication Publication Date Title
TWI225345B (en) Method and apparatus to manage address translation for secure connections
TWI239169B (en) Method and apparatus to manage packet fragmentation with address translation
KR101680955B1 (ko) 다중 터널 가상 사설 네트워크
US7395354B2 (en) Methods and systems for resolving addressing conflicts based on tunnel information
JP4489008B2 (ja) 通信装置、通信方法および通信プログラム
US20170374025A1 (en) Internet protocol security (ipsec) interface configuration and management
EP2916499B1 (en) Ip packet processing method, apparatus and network system
JP5871063B2 (ja) マルチテナントシステム、スイッチ、コントローラ、及びパケット転送方法
CN105812322B (zh) 因特网安全协议安全联盟的建立方法及装置
CN112822308B (zh) 一种高速安全虚拟网络代理的方法及其系统
US9445384B2 (en) Mobile device to generate multiple maximum transfer units and data transfer method
CN113904866B (zh) Sd-wan业务流量安全处置引流方法、设备、系统以及介质
CN101222412B (zh) 网络地址转换穿越方法和系统
JP3491828B2 (ja) 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム
CN109361684B (zh) 一种vxlan隧道的动态加密方法和系统
JP3490358B2 (ja) ネットワーク間通信方法およびサーバ装置並びにネットワーク間通信システム
EP3253004B1 (en) Communication control device, communication control method, and communication control program
CN112751816B (zh) 一种隧道建立方法、装置、设备及计算机可读存储介质
US20220407947A1 (en) Operation management method for network device without address information, and network device
JP4724636B2 (ja) プロトコル処理システム及びプロトコル処理方法
Yan et al. Design and Implement of IPsec VPN Service Mapping Layer Based on the ForCES Framework
JP2005311957A (ja) アクセスネットワークシステム及び方法
Kim et al. New mechanisms for end-to-end security using IPSec in NAT-based private networks
JP2001103096A (ja) ネットワークの構築方法
KR20080051448A (ko) 인터넷 프로토콜 보안 기반의 정적 터널링 방법 및 장치

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees