TWI225345B

TWI225345B - Method and apparatus to manage address translation for secure connections

Info

Publication number: TWI225345B
Application number: TW091125067A
Authority: TW
Inventors: Kjeld B Egevang
Original assignee: Intel Corp
Priority date: 2001-11-07
Filing date: 2002-10-25
Publication date: 2004-12-11
Also published as: WO2003041268A2; US20030088787A1; EP1444775A2; CN1586064A; EP1444775B1; DE60221557T2; DE60221557D1; US7159109B2; AU2002348164A1; WO2003041268A3; ATE368956T1; CN100576849C

Description

(i) (i) 1225345 ，玖、發明說明 (發明說明應敘明：發明所屬之技術領域、先前技術、内容、實施方式及圖式簡單說明) 發明背t 由於在特別是網際網路的通訊網路上日漸傳輸較多敏感資訊’所以網路安全保障變得逐漸重要。結果開發出於傳輸期間用以保護資料的一些安全保障技術。然而，某些網路連接技術可能需要存取經保護資料加以運作。又例如，位址轉換准許一連接將一些位址轉換成一單一位址，反之亦然’對於區域網路（LAN)而言尤其有用。然而，使用經保護的資料可能很難執行位址轉換。因此，實質上需要執行經保遵資料的位址轉換，同時保留此二技術的某些優勢。

ΚΛ fl mjliL 視同本發明之具體實施例的主題將於說明書的結論部分特別指出及明確主張。然而，藉由參照以下詳細說明，同時閱謂附圖，可澈底了解本發明之具體實施例的組織與作業方法，以及其目的，特性與優勢，其中：圖1係適合貫施本發明一具體實施例•的一系統之方塊圖。圖2係根據本發明一具體實施例的一節點之方塊圖。圖3係根據本發明一具體實施例的一程式分割之方塊圖。圖4係根據本發明一具體實施例由一確保連接位址管理員（SCAM)所執行之處理邏輯的一第一方塊流程圖。圖5係根據本發明一具體實施例的一 S(：AM之處理邏輯的 ι^Μ5 (2) 第二方塊流程圖。圖6係根據本發明一具體實施例的一第二方塊流程圖。方；以下詳細說明中，將陳述多項特本發明之具體實施例的通盤了解。然可了解：沒有此等特定細節同樣可實例。其他實例中將不詳細說明著名的方電路’才不致混淆前面所述之本發明具本發明之具體實施例可改良像是一封訊網路之效能。本發明的一具體實施例一 ”確保連接，，的一安全保障關聯（SA)之叉換網路的效能。一从可定義二或更多用以說明該等實體如何利用安全保障服係以可視為實體間一合約的一組資訊代協議及共享該資訊。有時候單獨將該資通常為現存關係的一實體例子。提供允作之協議的安全保障資訊，則以該資訊會存在。尤其，本發明的一具體實施例管理，換。本文中的位址轉換指：將大量位址一位址，反之亦然。本發明的一具體實組4探而決定一封包的路由選擇資訊，的位址轉換。結果，將改良一網路的整 SCAM之處理邏輯的 :細節，以便提供對，熟習此項技藝者本發明之具體實施法，程序，組件及體實施例。包交換網路的一通藉由改良此處稱為管理而改良一封包實體間的一關係，務確保通訊。此關表。所有實體間應訊稱為一 SA，但其許實體確保交互運所代表的此關係將隹保連接的位址轉轉換成較少或一單施例可藉由使用一以管理一確保連接體容量與效能 (3)1225345

此，使用者可從網路應用與服務的更快速之響應時間中獲益0 封包父換持續成為語音與資料通訊的一有效技術。本文中的封包叉換指：以相對較短之封包形式於-網路上通訊資訊。本又中的一封包指：具有有限長度的一組資訊，其中通常以位元或位元組代表該長度。#包長度的_例子可為1000位元組。— 網路節點。該等網網路通常包含以一通訊媒體互連路節點可使用一或更多通訊協定的一些於通訊媒體上與其他網路節點通訊資訊。本文中的一網路節點包括像是一電腦，伺服器，交換器，路由器，橋接器，閘道器等能夠通訊資訊的任何裝置。一通訊媒體可為像是雙絞線，同軸電纜，光纖，射頻等能夠攜帶資訊信號的任何媒體。一通訊協定包含於通訊媒體上供通訊資訊信號用的一組指令。例如，該通訊協定可為像是如丨9 8 i年9月採用之網間工程任務編組（IETF)標準7，備柱要求（RFC)793所定義的傳輸控制協定（TCP) (”TCP”規格），以及如1981年9月採用之IETF標準5，RFC 791所定義的網際網路協定（ip) 規格）的一封包交換協定，兩者可從丨丨www.ietforg丨丨取得（此處統稱為"TCP/IP規格”）。一封包交換網路包含像是一來源節點，一目的地節點，及中間節點的一些網路節點。來源節點包含用以遞送至目的地節點的一組資訊所發端的一節點。該資訊包含能夠以像是一電子信號，光學信號，聲響信號的一信號代表的任何資料。本文中之資訊的例子可包括來自一語音會話，视 (4) 訊會議’串流視訊，電电于郵件（"email”）訊息，語立翻息，圖形，影像，視訊，内文m 曰郵件訊用以接收資訊的—節點。：：寺…目的地節點包含 ’·、中間節點包含從來源節點？ 3的地節點通訊資訊的節點。 ”，、目的為了韬助一來源節點，中諮與一目的地即點間的路由 · <评貝Λ，將指派給每一笳是一 IP位址的一網路位址。母即點像於作業中，來源節點可透咬遇一或更多中間節形式，將資訊傳送至目的、匕 L即點。來源節點將一解成一連串封包。毐一射6 肝、、且貝口凡刀 W . 母封包可包含一部分資訊加上某此栌 ,^ ^ s A 略中的中間郎點將每一封包路由選擇土目的地節點。來# A源即點於網路上傳送封包一中間節點接收封包，覃Λ f °八中間早加以儲存，並且傳至下一中間節點。繼續如此發生，直直巧取後目的地節點接收整個一連串封包’並且再生夹自立丹生不自來源即點的資訊為止。封包通常以”清楚内文”值又傳运。表示任何裝置均可存取一封包内包括標頭資訊與封包資料，」匕具针的資訊。某些情況下，可能希望使用一安全保障技输P六+ 孜竹防止未經授權使用者或裝置存取封包資訊。可使用像是根據如IETF RFC讀，24G6，2407， 2408 2409及其他中所疋義的—❽安全保障（“㈣〜,）協定 ::的—些安全保障技術保護封包。-安全保障通訊協定 ::包括於傳輸期間用以保護—資料封包的加密與解密演裝/ °例如當使用與其他網路節點共享的實體連接建立兩置間的一虛擬專用網路（VPN)時很有用。於本發明的-具體實施例中，—確保連接可例如根據 (5) 發明說明續頁， 1 9 9 8年1 1月公佈之標題’’網際網路安全保障關聯與金鑰管理通訊協定"WIETF建議標準，RFC 2408(nISAKMPn規格）而建立。ISAKMP規格中說明利用可用以建置一網際網路環境中確保連接與加密金鑰之安全保障觀念的一通訊協定。例如，ISAKMP規格可提供建置協商實體間一確保連接的通訊協定交換，接著此等協商實體以某種通訊協定建置一確保連接。此一通訊協定的例子如1998年1 1月公佈之IETF 建議標準RFC 2406陳述的IP封裝安全保障協定（ESP)中所述的一通訊協定（，’ESP規格’’）。IS AKMP規格可進一步定義用於鑑定一通訊同級之程序，確保連接之建立與管理，金鑰產生技術，以及威脅減緩（例如：杜絕服務與答覆之攻擊）。希望能具有所有此等功能，以便於一網際網路環境中建置及維護確保通訊。然而，對於被配置以執行網路位址轉換（NAT)之網路節點而言，確保連接與加密封包可能產生一問題。NAT促成像是一 LAN的一網路使用内部流量（π内部位址π)的一組IP位址及外部流量（π外部位址"）的一第二組位址。例如，一 NAT 裝置被操作以作為一 LAN與另一網路間的一閘道器，其中 LAN上每一網路節點（”内部節點π)具有一分離的内部位址。當來自LAN的一網路節點傳送一封包給LAN外面的一網路節點（π外部節點f’）時將通過NAT裝置。NAT裝置可將内部節點的内部位址轉換成所有内部節點共享的一外部位址。類似地，當一外部節點傳送一封包給一内部節點時， NAT裝置可將共享的外部位址轉換成適當之内部節點的一 1225345 (6) 爹興說明續頁; 内部位址。如此可提供一些優勢，像是增加一客戶或組織的IP位址數，以及降低與其他公司及組織使用之IP位址衝突的可能性。然而，一 NAT裝置通常需要來自一封包標頭的資訊以適當執行NAT。此資訊例如包含IP位址及使用者資料報協定（UDP)或TCP璋號。一 NAT裝置可能無法從一加密封包擷取這類資訊。

由於某些原因，此問題的傳統解決方案無法令人滿意。例如，一解決方案於執行NAT前將加密封包封裝成UDP或 TCP封包。然而，其可能為許多傳統網路節點無法被配置以執行的一專屬方法。另一解決方案則包括一 NAT裝置以作為確保連接的一部分。由於NAT裝置的使用者可以存取確保連接上傳送的資訊，所以其將建立一潛在的安全保障分支。

以下詳細說明的本發明之具體實施例將以可減少或減緩此等及其他問題的一方式管理確保連接上的位址轉換。於本發明的一具體實施例中，一確保連接位址管理員（SCAM) 可管理内部節點與外部節點間的一確保連接清單。此處將此清單稱為一”流清單"。本文中的一”流”指：例如包含或者與一確保連接相關之封包的一封包流。SCAM可藉由監視用以指定一流之開始的一特殊加密封包而建立流清單。於本發明的一具體實施例中，SCAM監視具有序號壹（1)的一 ESP封包。通常，具有此序號的ESP指示一封包流的開始。然後SCAM記錄伴隨接收ESP時的一時間戳記之ESP封包識別碼，作為流清單的一部分。識別碼的一例可為用以輔助 -10- 1225345 ⑺ 識別一ESP封包的一安全保障參數索y Μ °當SCAM接收來自一外部節點具有一外部位址的— tSP封包而且其目的地位址為一 LAN中的内部節點之一時，s 試圖匹配該外部節點之ESP封包的一識別碼與流清鼙由^ 早中儲存的一 ESP封包其一識別碼。例如，SCAM可從清單中、選擇具有最舊時間戳記的一 ESP封包識別碼。於本發明—叛贷代之具體實施例中，SCAM可決定何ISAKMP流為最近翊m 兄用，進而將封包轉送至適當的内部位址。以下將詳細說明士 & 本發明之具體實施例。值得注意的是·於本文中’說明金φ女曰中有關·，一具體實施例”之任何參考表示結合至少一本發明夕月艾具體實施例所含之具體實施例加以說明的一特殊特性，从w 於庄結構或特徵施例中，'未必指相同說明書中多處出現的片語”於一具體實的具體實施例。

現在詳細參照圖式，其中從頭至尾以如I 悉以相似的參考號螞定相似的部分，圖1中圖例說明適合會说士& n 曰男她本發明一具體备

施例的一系統。圖1係一系統100的—古祕 H 乃观圖，其中包含接至一網路104的一網路節點1〇2。網路節點1〇6以及經由— LAN108的網路節點11〇與112均連接至網路1〇4。雖然=圖顯示有限個網路節點，但可以明白：系統1〇〇中可使意數目的網路節點而仍於本發明之範圍内。再者，中，”連接”與”互連”等名詞及其變化指實體連接以及於本文 /或者邏輯連接。配於本發明的一具體實施例中，網路節點102可為能夠 1225345 (8) —^_

Lwasiw ——— 置與像是網路節點110以及/或含，m 箐112寺一目的地節點的一確保連接的一來源節點。網路節即點102可為上述一外部節點的一例。網路節點106可為像是姑舶番以·' 疋破配置以執行網路節點ιι〇與Π2之NAT的一路由器之類的網路節點。於本發明的一且體實施例中，LANH)8包含被配置以根據一或更多乙^ (Ethernet)通訊協定相互通訊的牺玫誌科彳Λ h周路即點106、u〇與U2。網路節點Η0與Η2可為上述一内部節點的例子。於本發明的 -具體實施例中’網路ΗΜ可包含被配置以根據像是Μ· 規格的一或更多網際網路通訊協定而通訊資訊的網路節點0 於本發明的一具體實施例中，網路節點1〇2可被配置與像是網路節點11 〇或112的另一網路節點建置一確保連接。網路節點110與112同樣被配置與像是網路節點1〇2的另一網路節點建置一確保連接。於本發明的一具體實施例中，網路節點102、110與112可根據ISAKMP規格與ESP規格建立一確保連接’然而本發明之具體實施例不以本文為限。圖2係根據本發明一具體實施例的一節點之方塊圖。圖2 中圖例說明代表圖1所示之任何網路節點的一節點200，包括被配置以執行NAT的網路節點106。網路節點1〇6可例如根據2001年1月公佈之標題”傳統巧網路位址轉換器，，的RFC 2022中定義的資訊規格（"NAT規格”），以及根據此處陳述之原理加以修正而執行NAT。郎點2 0 0可包含一電腦平台。於本發明之此具體貫施例中，節點200包含一處理器202，一輸入/輸出（I/O)配接器 -12- 1225345 (9) 發明說明續頁.

204，一操作員介面206，及一記憶體210。記憶體210可儲存電腦程式指令與資料。處理器202可執行程式指令，及處理記憶體210中儲存的資料。I/O配接器204可與其他裝置通訊，以及於連接224上傳輸進出中間節點200的資料。操作員介面206可提供一使用者與OS216間的一介面。操作員介面206可於使用者與OS216間通訊命令，並且提供狀態資訊給使用者。所有元件藉由允許資料於元件間相互通信的匯流排208互連。I/O配接器204代表可連接至例如像是網路 200之區域或廣域網路的一或更多I/O配接器或網路介面。因此，連接224可代表與一網路的一連接，或者與其他設備的一直接連接。可以明白··節點200可具有任意數目的I/O 配接器204與連接224之類的I/O配接器與連接而仍於本發明之範圍内。

處理器202為能夠提供實行本發明之具體實施例希望的速度與功能的任何類型之處理器。例如，處理器202可為來自Intel公司、Motorola、Compaq、AMD公司與SUN微系統所製造的一處理器家族中一處理器。記憶體2 1 0包含可儲存被調整以便由一處理器執行之指令的任何媒體。這類媒體的一些例子包含但不限於唯讀記憶體（ROM)、隨機存取記憶體（RAM)、可程式化ROM、可抹除可程式化ROM、電子可抹除可程式化ROM、動態RAM、磁碟（例如：軟碟與硬碟）、光碟（例如：CD-ROM)以及可儲存數位資訊的任何其他裝置或信號。於一具體實施例中，可以一壓縮以及/或者加密格式將指令儲存於該媒體中。 -13- 1225345 (ίο) 發明、說、明續，頁此處使用之片語“被調整以便由一處理器執行”表示包括：以一壓縮以及/或者加密格式儲存的指令，以及於處理器執行前藉由一安裝器加以編譯或安裝的指令。再者，節點200包含透過其他I/O控制器之機器可讀取儲存裝置的各種組合，其可由處理器202存取，而且能夠儲存電腦程式指令與資料的一組合。於本發明的一具體實施例中，記憶體210包含一作業系統216、一程式分割212與一資料分割214。程式分割212可儲存及允許處理器202執行用以實行像是網路節點102、 106、110與112等此處所述的每一各別節點之功能的程式指令。資料分割2 14可儲存程式指令執行期間使用的資料。 I/O配接器204可為包含任何適當技術的一網路介面，其中該技術使用一組希望的通訊協定、服務與操作程序控制網路裝置間的通訊信號。於本發明的一具體實施例中，I/O 配接器204根據TCP/IP規格而作業，但是本發明之具體實施例不以本文為限。 I/O配接器204同時包括用以連接I/O配接器204與一適當通訊媒體的連接器。熟習此項技藝者將了解：1/〇配接器204 可於像是雙绞線、同軸電纜、光纖、射頻等任何適當的通訊媒體上接收資訊信號。圖3係根據本發明一具體實施例的一程式分割之方塊圖。圖3中圖例說明具有一確保連接位址管理員（sCAM)3〇〇的一程式分割。於此具體實施例中，SCam3〇〇包含用以管理像是網路節點106的一 NAT裝置上之確保連接的位址轉換 1225345 (ii) - S s S V -s 、、八 Λ » / V 發f說喝續頁; 之程式指令。尤其’ SCAM300可利用此處分別稱為一流模組302、一轉換模組304及一通訊模組3〇6的三個程式指令集。當然，本發明之範圍不限於此等特殊指令集。參照圖4 一 6與附加之例子進一步說明系統1〇〇與2〇〇以及模組300、302、304與306的作業。雖然如此處所表達，圖4 一 6可包括一特殊處理邏輯，但可了解：處理邏輯僅提供如何貝^亍此處所述的一般功能的例子。再者，除非另有指示，否則一給定處理邏輯内的每一作業不必以所表達的次序執行。圖4係根據本發明一具體實施例的一 scam所執行之處理邏輯的一第一方塊流程圖。處理邏輯4〇〇中圖例說明一種官理確保連接之位址轉換的方法。於方塊4〇2，接收具有一識別碼與代表複數個内部位址的—外部位址的一加密封包。於方塊404 ’選定内部位址之一。於方塊4〇6，將加密封包通訊至選定的内部位址。圖5係根據本發明一具體實施例的一 SCAM所執行之處理邏輯的一第二方塊流程圖。處理邏輯5⑽中圖例說明一種管理確保連接之位址轉換的方法，特別是從一流清單中選擇一内部位址。於方塊5〇2 ,搜尋具有相關時間的一識別碼清單。於方塊5〇4，選擇具有一最早時間的一識別碼。於方塊506，擷取與選定之識別碼相關的一内部位址。元本發明的一具體實施例中，搜尋_清單如下。首先建丄流⑺單。然後搜尋建立的清單。藉由接收來自與上述内部位址之一相關的一裝置而且具有一預定序號與一識別 -15- ___I >* 1225345 (12) rsSwi" ί- Γ 、 '、'、碼的一加密封包而建立清單。當接收封包時，則決定一時間。結合該時間和内部位址與識別螞，並且儲存於記憶體中〇於本發明的一具體實施例中，例如根據ISAKMP規格將封包加密。加密封包例如為一 ESP加密封包。該識別碼例如為一 SPI。

於本發明的一具體實施例中，可能未找到加密封包的一内部位址，或者已將加密封包傳送至不正確的内部位址。此情況下，NAT裝置接收將加密封包通訊至一不正確之内部位址的一訊息，並決定於複數個内部位址所代表的每一裝置終止之每一隧道的一活動位準。然後將加密封包通言至具有一最高活動位準之隧道的一内部位址。圖6係根據本發明一具體實施例的〜Scam所執行之處无邏輯的一第三方塊流程圖。處理邏輯6〇〇中圖例說明一矛管理確保連接之位址轉換的方法。於方塊6〇2，建立一食別碼清單。該清單中的每-識別碼代表於具有—内部位力的-裝置終止的-隧道。於方塊6〇4，將每一内部位址車 =成一外部位址。於方塊606,接收具有外部位址的一力密封包。於方塊608 Μ吏用識別碼清單選擇内部位址之一於方塊㈣’將加密封包通訊至選定的内部位址。將使用以下例子進一步說明系統1〇〇與200，以及模!」 3〇〇ϋ與概。假設：其中指導像是網路節點⑴白一網路節點與網路節點102建立-確保連接、網路節點η 例如根據1SAKMP規格協商確保連接。例如，跳ΜΡΜ -16 - 1225345

(13)

提供用以建置協商實體間一確保連接的通訊協定交換，接著由此等協商實體以某種通訊協定建置一確保連接。此一通訊協定的一例可為ESP規格中陳述的一通訊協定。首先，一初始通訊協定交換允許協議一組基本的安全保障屬性。該基本組提供後續ISAKMP交換的保護。同時指示當作 ISAKMP通訊協定的一邵分而執行的鑑定方法與金瑜交換。於協議該組基本安全保障屬性後，則鑑定初始實體，並且產生要求的金鑰，引動ISAKMP的實體可於後續通訊中使用建置的SA。

如設定確保連接之協商處理的一部分，網路節點110開始經由網路節點106傳送封包給網路節點102。於本發明的一具體實施例中，網路節點106為被配置以根據NAT規格執行NAT的一路由器。網路節點106同時以像是SCAM3000的一 SCAM加以配置。網路節點106通知ISAKMP使用之UDP流其來源/目的地位址以及來源/目的地埠。對於從LAN1 08發端的所有封包，網路節點106將網路節點11〇的内部位址轉換成網路節點106使用的一單一外部位址。類似地’假設網路節點Π2亦開始使用ISAKMP經由網路節點106連至網路節點1〇2的一確保連接協商處理。則網路節點106執行與網路節點i 1〇之確保連接所執行相同的通知及轉換處理。如果網路節點U2的UDP來源埠與網路節點1 1〇的UDP來源埠相同，則將其轉換成一未使用值。假設網路節點1 1〇傳送其第一加密ESp封包。流模組3〇2使用ESP封包建立一流清單。流清單可例如藉由檢驗一確保 -17- 1225345 (14) 發明說确續頁連接之協商而建立。於此例子中，一確保連接可根據 ISAKMP規格而建立。根據ISAKmP規格，所有確保連接均使用一特殊埠號500加以建立。流模組302可被配置以監視具有一離埠目的地埠5〇〇或入站來源埠5〇〇的所有封包流，而且擴取具有像是一特殊序號··序號1之所有Esp封包的一 SPI °此封包通常識別一封包流的開始。SCAm3〇〇的流模組 302接收此ESP封包，並擷取其spi。然後流模組302將擷取的SPI與一時間戳記伴隨網路節點π〇的内部位址儲存於其流表中。然後例如由通訊模組306將ESP封包轉送至網路節點 102。假設網路節點112傳送其第一 ESP封包。然後流模組302使用此封包的SPI與時間戳記以及網路節點1丨2的内部位址於流表中建立一新項目。網路節點102傳送其第一 ESP封包給網路節點106。其係因為網路節點1 10與112傳送至網路結點1〇2之ESP封包的接收目的地位址為以一單一外部位址識別的網路節點丨〇6。網路節點106現在必須決定來自網路節點1〇2的ESP封包欲傳給網路節點110或網路節點112。SCAM300的轉換模組304可藉由搜尋流清單中序號為1之最舊未匹配ESP封包而完成。由於最舊的ESP來自網路節點11〇，所以轉換模組304擷取網路節點110的初始位址，並將此資訊傳至通訊模組3 〇6。通訊模組306使用擷取的内部位址將來自網路節點1〇2的ESP封包轉送至網路節點110。之後，網路節點1〇6將以相同SPI當作第一 ESP封包的封包轉送至相同的内部位址。 1225345 (15) 發明說明續頁、

網路節點102傳送一第二ESP封包給網路節點106。網路節點106現在必須再次決定來自網路節點102的ESP封包欲傳給網路節點1 10或網路節點112。轉換模組304存取其流表以搜尋流清單中序號為1之最舊未匹配ESP封包。其為來自網路節點112的ESP封包。轉換模組304擷取網路節點112的内部位址，並將此資訊傳至通訊模組306。通訊模組306使用擷取的内部位址將來自網路節點102的ESP封包轉送至網路節點112。之後，網路節點106將以相同SPI當作第二ESP封包的封包轉送至相同的内部位址。雖然如此處所述，已經圖例說明本發明之具體實施例的某些特性，但熟習此項技藝者可提出許多修正，替代，改變及等價的實施例。因此，應了解：希望附加之申請專利範圍可以函蓋本發明之具體實施例其真正精神所包含的所有此等修正與改變。

圖式代表符號說明 100系統 102, 106, 1 10, 1 12, 200 網路節點 104網路 202處理器 204輸入/輸出配接器 206操作員介面 208匯流排 210記憶體 212程式分割 -19- 1225345

S11SIS (16) 2 14資料分割 2 1 6作業系統 224連接 3 00確保連接位址管理員 3 02流模組 304轉換模組 3 06通訊模組

-20-

Claims

1225345

125067號專利申請案請專利範圍替換本(93年6月）拾、申請鲁利範圍 1. 一種用來管理確保連接之方法，包含：接收具有一識別碼與代表複數個内部位址的一外部位址的一加密封包；選擇該内部位址之一；及將該加密封包通訊至該選定的内部位址。

2. 如申請專利範圍第1項之方法，其中該選擇包含：搜尋具有相關時間的一識別碼清單；選擇具有一最早時間的一識別碼；以及擷取與該選定之識別碼相關的該内部位址。 3. 如申請專利範圍第2項之方法，其中該搜尋包含：建立該清單；及搜尋該建立的清單。 4. 如申請專利範圍第3項之方法，其中該建立包含：

接收來自與該内部位址之一相關的一裝置，而且具有一預定序號與一識別碼的一加密封包； . 決定接收該加密封包的一時間；結合該時間和該内部位址與該識別碼；及儲存該相關時間和相關内部位址與該識別碼。 5. 如申請專利範圍第1項之方法，其中該封包係根據網際網路安全保障關聯與金鑰管理協定（ISAKMP)而加密。 6. 如申請專利範圍第1項之方法，其中該加密封包係一網際網路協定（IP)封裝安全保障封包承載（ESP)加密封包。 7. 如申請專利範圍第1項之方法，其中該識別碼係一安全 1225345

申請專利範圍續頁保障參I索引（SPI)。 8. 如申請專利範圍第1項之方法，其中該識別碼代表兩裝置間的一隨道，而且進一步包含：接收將該加密封包通訊至一不正確之内部位址的一訊息；決定於該複數個内部位址所代表的每一裝置終止之每一隧道的活動位準；及

將該加密封包通訊至具有一最高活動位準之隧道的一内部位址。 9. 一種用來管理確保連接之方法，包含：建立一識別碼清單，其中每一識別碼代表於具有一内部位址的一裝置終止的一隧道；將每一内部位址轉換成一外部位址；接收具有該外部位址的一加密封包；使用該識別碼清單選擇該内部位址之一；及

將該加密封包通訊至該選定的内部位址。 10. 如申請專利範圍第9項之方法，其中該隧道係根據網際網路安全保障關聯與金鑰管理協定（ISAKMP)而建立。 11. 如申請專利範圍第9項之方法，其中該加密封包係一網際網路協定（IP)封裝安全保障封包承載（ESP)加密封包。 12. 如申請專利範圍第9項之方法，其中該識別碼係一安全保障參數索引（SPI)。 13. 如申請專利範圍第9項之方法，其中該選擇包含：搜尋具有相關時間的該識別碼清單； -2- 1225345

申請專利範圍續頁選擇具有一最早時間的一識別碼；及擷取與該選定之識別碼相關的該内部位址。 14. 如申請專利範圍第9項之方法，其中該建立包含：接收來自與該内部位址之一相關的一裝置而且具有一識別碼的一加密封包；決定接收該加密封包的一時間；

結合該時間和該内部位址與該識別碼；及儲存該識別碼與該相關時間和内部目的地位址。 15. —種確保連接管理員，包含：用以建立一識別碼清單的一流模組，其中每一識別碼代表具有一内部位址的一裝置終止之一確保流；及用以選擇具有一外部位址與一流識別碼的一加密封包之内部位址的一轉換模組。 16. 如申請專利範圍第1 5項之確保連接管理員，進一步包含：

用以將該加密封包通訊至該選定之内部位址的一通訊模組。 17. —種用來管理確保連接之系統，包含：用以將加密封包傳送至一外部位址的一第一網路節點；用以接收該加密封包，並將該外部位址轉換成一内部位址的一第二網路節點；及具有該内部位址以接收該加密封包的一第三網路節點。 18.如申請專利範圍第17項之系統，其中該第二網路節點係 1225345:， ya 6. -3 ... 一 ·- 被 19.如節理 20·如網 21·如用 ^一接 22. ^ 其部址 23. 如時識間位 24. 如時申請專利範圍續頁 g己置以執行自然位址轉換（NAT)的一路由器。 _請專利範圍第17項之系統，其中該第一與第三網路點被配置以使用根據網際網路安全保障關聯與金鑰管换定（ISAKMP)所建立的一隧道進行通訊。申請專利範圍第17項之系統，其中該加密封包係網際路協定（IP)封裝安全保障封包承載（ESP)加密封包。申請專利範圍第17項之系統，其中該第二網路節點使 /流識別碼清單執行該轉換，其中每一流識別碼代表安全保障參數索引（SPI)，而且具有一相關内部位址與受時間。種管理確保連接的物品，包含：一儲存媒體；儲存媒體包含儲存的指令，當由一處理器執行時，致藉由接收具有一識別碼與代表複數個内部位址的部位址的一加密封包而管理一確保連接，選擇該内址之一，以及將該加密封包通訊至該選定的内部位申請專利範圍第22項之物品，其中當由一處理器執行 ’儲存的指令進一步導致藉由搜尋具有相關時間的一別碼清單而選擇該内部位址之一，選擇具有一最早時的一識別碼，以及擷取與該選定識別碼相關的該内部址 ° 申請專利範圍第23項之物品，其中當由一處理器執行 ’儲存的指令進一步導致藉由建立該識別碼清單並且

-4- 申請專利範圍續頁搜尋該.建立的清單而搜尋該清單。 25:申請專利範圍第24項之物品，其中當由一處理器執行、、儲存的指令進一步導致藉由接收來自與該内部位址 < 一相關的一裝置而且具有一預定序號與一識別碼的一 ·:十包而建立#清單，決定接收該加密封包的一日寺結合該時間和該内部位址與該識別碼，以及儲存該减別碼與該相關時間和相關内部位址。 6· 種皆理確保連接的物品，包含：一儲存媒體；該儲存媒體包含儲存的指令，當由一處理器執行時，其導致藉由建立一識別碼清單而管理確保連接，其中每一識別碼代表於具有一内部位址的一裝置終止的一隧道，將每一内部位址轉換成一外部位址，擷取具有該外部位址的一加密封包，使用該識別碼清單選擇該内部位 π之一，以及將該加密封包通訊至該選足的内部位址。 27.如申請專利範圍第％項之時，儲存的指令進一步導識別碼清單而選擇該内部間的一識別碼’以及擴取物品，其中當由一處理器執行致藉由搜尋具有相關時間的該位址之一 ’選擇具有一最早時與該選定識別碼相關的該内部

位址。 28.如申請專利範圍時，儲存的指令之一相關的一裝立該識別碼清單第26項之物品，其進一步導致藉由接置而且具有一識別，決定接收該加密中當由一處理器執行收來自與該内部位址碼的一加密封包而建封包的一時間，結合 1225345 93/6. -3 I申請專利範圍續頁該時間_和該内部位址與該識別碼，以及儲存該識別碼與該相關時間和内部目的地位址。

-6-