TWI312626B

TWI312626B - Method and apparatus for integrating encapsulation and encryption with packet routing

Info

Publication number: TWI312626B
Application number: TW094131407A
Authority: TW
Inventors: D Asnis James; S Lehtonen Teemu; Kartau Olev
Original assignee: Nokia Corporatio
Priority date: 2004-09-15
Filing date: 2005-09-13
Publication date: 2009-07-21
Also published as: WO2006030266A1; CN101048978A; EP1794937A1; US20060059370A1; KR20070053345A; US7647492B2; TW200625875A

Description

1312626 鮮/月打!奴替換頁九、發明說明：【發明所屬之技術領域】本發明係關於網際網路協定之網際網路協定聯拓樸配置，尤其是(但不限於)在虛擬私人使用之網路動態網路的拓樸配置的路由及網際網路通訊協 (Ipsec)的整合。【先前技術】虛擬的私用網路（VPN)可以在外部/未俨託 (imtmstecDIP網路(如網際網路)上產生安全的通訊。：^；ν 友:供相當安全的方式以在内部信託的網路上連結節點，其中各網路連結的距離相當遙遠，如客戶端，伺服端及主機電腦。基本上使用編密及其他安全的方式以產生安全的點對點通道，而且可以在一未信託的外部網路上的未授權的使用者接受進行文字/訊包訊息的素化 (plain)。基本上將”素化的文字，，訊包編密且插入路由器的訊包間。内”素化文字，，訊包實際上在一未信託的外部網路上從一 VPN閘道器向另一 VPN閘道器前送，其中外部的訊包被解密且在該外部網路上將内”素化文字，，訊包前送到在内部網路上的目的地。其他的訊包作為一保護的外殼或在從該外部未信託網路上從/節點向另一節點傳送時之”素化文字”的包封。基本上，VPN中的閘遘器得到如在其内部網路上用於IP訊務的路由器。例如，當從一信託之内部網路上的節點接收到一素化文字訊包時，該VPN閘道器查詢在一選擇表列上的目的地，以该訊包是否指甸在局部連結之 1312626 内部網路外部的目的地，或査詢是否在向目的地連結時必需編密。如果需要，則vpN閘道器安全地將該文子訊包傳送到一特定的VPN閘道器同等裝置，其與在外部未信託網路上的目的地有關。特定的VPN閘道器同等裝置決定是否傳送訊包的目的地在其自有的選择地表列上。如果是，則解密該編密的訊包，且前送到其局部連結内部網路上的節點。另外，如果’’素化文字’’訊包的目的地不在該選擇器表列上，但是已是路由器表列中的項目，則VPN閘道器必需將該未包封的素化文字訊包前送到其目的地。

當愈來愈多的閘道器被加到VPN時，發展出網狀的配置方式’其中在VPN中所有的閘道器均知曉每一個其他的閘道器。而且，在VPN中的各個閘道器之間可以建立通訊通道。但是，因為各通道與各閘道器中之維持的一表列中的選擇器有關，只要將一新的閘道器加入該 VPN時’管理人員必需更新此表列，或者是動態改變一路由器。所以，在VPN中的閘道器的數目也成長，必需在各閘道器中更新選擇器之各表列的效應變得冗餘煩瑣。而真’在VPN閘道器中使用的包封服務並不知道動態路由的改變。【發明內容】下交·中參考附圖將更詳盡地說明本發明，該等圖為本發明之了部份，其中說明例本發明之特定實施例。但是本發明並不限於這些特定實施例，這些實施例係用於 ⑧ 6 1312626 70、地表達本發明的概念。本發明可以以方法或裝置的方式實現，也可以以軟體或硬體的方式呈現。因此下文中的詳細說明並非用於限制本發明。

簡言之本發明與使用IPSec之訊包的路由系統，方法及裴置相關，且由在一在VPN中之動態網路佈局的一般路由協定相關。本發明中說明一架構可安全地傳送訊包’係使用一開放式系統互連結(〇Sl)層的三個資訊，如來源及目的位址。在一實施例中，使用一樹狀的結構以尋找可能與一保護的次網路相關的IP位址，該訊包可以使用如IP包封安全酬載(ESP)之類的協定而編密且組包封’等等。整個訊包可以編密（encrypted)及包封 (encapsulated)，包含原始目的地及來源ip位址表頭資訊。使用與一至一 IPSec隧道之入口閘道器及出口閘道器相關的ΠΜ立址，而對於其他訊包提供新的來源及目的 IP位址。當新的訊包到達其目的地時，其可以解密及解包封，且使用原來的IP位址表頭資訊路由。【實施方式】圖1的功能方塊圖說明本發明作業環境1〇〇之一實施例，其中該作業環境說明本發明。作業環境100只是本發明中的適當作業環境的例子，並非用於限制本發明。因此其他的作業環境及配置方式均可以使用在本發明中，而不偏離本發明觀點或精神。如圖所示’作業環境100包含閘道器102A-102E，其使用通道而在網路104上互相連結。外部閘道器 7 1312626 及108經由不同的閘道器而應用網路i〇4通訊。客戶端 118與外部閘道器1〇8通訊，且客戶端i18B與外部客戶端106通訊。一般，閘道器102A-102E及外部閘道器106及108 可以包含虛擬及計算裝置，其可以連結到另一計算裝置’以在一網路上傳送及接收資訊，其包含路由器，防火牆等。因此這些裝置稱為閘道器，其實際上可以配置 _ 為一路由器，或者是類似的網路裝置。下文使用圖2更詳細地說明閘道器102A-102E的實施例。客戶端118A及118B的裝置類型可以包含虛擬地任何可以使用如個人電腦，多處理器系統，基於可程式消費性電子’網路PC等的有線或無線之通訊媒體而在一網路上傳送的任何計算裝置。配置網路104以使用任何型式之電腦可讀取媒體，以將資訊從一電子裝置向另一装置傳送，以另一裝置可以是osi模型中第三層及第四層的裝置。而且網路1〇4 # 可以包含除了區域網路(LAN)，大區域網路(WAN)直接連結或任何的組合外的網際網路。在LAN之互連結組上，切換基於不同架構及協定者，可以使用一路由器，以作為LAN之間的連結，以使得資訊可以從一裝置向另一裝置傳送。基本上’ LAN㈣通訊連結包含雙絞線或同軸電纔，而在網路之間的通訊連結可以使用類比電話包含T1，T2’T3及T4的全或部份專用數位線路，或者是熟知的整體服務數位網路(ISDN)，數位用戶線路

(S 8 1312626 ’或其他熟知的通訊另外，網路1〇4可以包含通訊移動，線如電腦可讀取的指令，資料結構，在-調變之資料信號中的其他資料，如；波:疋 =傳送機構，且包含任何其他 = 項S調變的資料信號”及”載波信號，，包媒: 二或多個特徵組’或以編碼，指令，資料等；變V例如’通訊媒體包含在⑽模型之第3及4層中 ^如(但不限於)雙絞線’同軸電纜，光纖、'及其他的有線或無線媒體，如(但不限於)聲，RF，或其他的無線媒體。 v外跟發明網路裝置之實施例，伽於說明依據本發明實施例-閘道器的操作，如圖！之閘道器 1〇=-咖。網路裝置細可以包含圖i中顯^多個日=件。該轉只作為實關朗用’而非用於限制本發 1路裝置彻包含處理單元212，視訊顯示適配器 ’及一大型記憶體，均經由匯流排222通訊。大型記沾可以包含RAM216，ROM232，或一或多個永久性驅^錯存裝置，如硬縣置228，卡帶_器，光碟器，及/或軟碟驅動器。大型記憶體儲存作業系統的以控制網路裝置2〇〇的操作❶可以使用任何錯誤目、的作業系統。使用的輸人/輸出系統(BI〇S)218也提供 9 裝置200的低階操#。如圖2所示，網路裝 _ 、網際網路，或其他的通訊網路經由一網路介通訊’賴此單如制不_通訊協定， ^ 2一不限於)RIP，0SPF，SNMp，http，vdp/ip，tct/ip t ’等°例如’在""實施例中，網路介面單元210可時應用TCP及IP多向傳送的多點通訊方式。 I時僅網路介面單元21G也稱為收發機，網路介面卡 (NIC) ° 網路裝置200也包含用於傳送及接收電子郵件的 MTP處理器應用，用於接收及處理HTTP要求的HTTP 處理器應用，及用於處理安全連結的HTTps處理器應用。HTTPS處理器應用可以應用安全的方式與外部的應用程式通訊。而且，網路裝置尚包含_應用，其支援虛擬地及安全的連結，包含(但不限於)TLS，TTLs， ΕΑΡ ’ SSL ’ IPSec，等。網路裝置200有包含輸入/輸出介面224，以與外部裝置通訊，該外部裝置如滑鼠，鍵盤，掃瞄器，或其他圖2所示的輸入裝置。同樣地，網路裝置2〇〇尚包含額外的大型儲存裝置，如CD_R〇M/DVD_R〇M驅動器226 及硬碟驅動器228。可以使用硬碟228以儲存應用程式，資料庫，客戶、裝置資訊，政策，安全資訊，包含(但不限於)證書，密件，通行碼，等。可以將一或多個應用程式250载入大型記憶體中，且在作業系統220上通訊。應用程式的例子如傳碼器’ 1312626 、排程器，圖型程式資料庫程式，字元處理程式，Ηττρ 程式，使用者介面程式，不同的安全程式等。大型記憶體可以為應用程式，如路由應用程式260，選擇器健;^ 程式262，IPSec的應用程式264，IPSec詢查儲存器266。完成應用程式可以與其他在該網路裝置上的元件，其他的網路裝置，閘道器等互動。、雖然圖2中以不同的元件說明，本發明中也可以將路由應用260，選擇器儲存262，IPSec應用264及IPSec 查β旬儲存266等進行不同的組合，此均在本發明的範圍内。例如，可以將IPSec應用264及IPSec查詢儲存266 可整合成單一的應用或數個不同的應用，而且IPSee應用264，IPSeC查詢儲存266等的元件可以内駐在一或多個類似網路200的計算裝置内。圖3說明具有與不同網路裝置相關的位址的一實施例的圖1的功能方塊圖。圖3的系統實際上類似圖的系統100。因此’具有相同標示的元件具有不同的對 • ^關係。例如，如圖所示，192.6.5.10的IP位址與客戶 j 相關。IP位址1〇 2 3 4與客戶端ιΐ8Α相關。同壬’ IP位址20.3.5.10與閘道器1〇2D相關，而ιρ位 =6.4.5.K)與閘道器1Q2a相關。顯然地，此正位址只 A’’’、說明例用’實際上任何的IP位址可以與該元件配口 =使用f位址說明實施例中本發明的操作方式。 4顯不一增強式網路訊包的實施例。增強式網路 §匕400可以包含比圖中顯示更多的元件。但是顯示的 (g 1312626 元件足以實現本發明。如圖所示，增強式網路訊包働包含頭402，目的位址㈣404，包封安全酬载_)表^ 406,及資料欄位视。資料襴位4〇8包含網路訊包4ι〇，其網路訊包包含原始IP來源表頭412，原始Ιρ 頭414及原始資料416。、° 的衣可以配置增強式網路訊包働以 (RFO2406之網際網路必備要件中說明之Ip Esp 1之該簡述項現併人本發明中。例如，在朗包封資料欄位概的内容月的=發協明等的通訊通道模式財以配置的二=:;P為位了=^^ 始1P目的位址為IP位址_而4用二:路2 ί;=:Α3:原始網路訊包_客戶端.删傳4 訊強内編密及包封該網路 „,;r 2；ί sr ^ 蜞包400也顯 ,..ια 〇相關。增強式網路 ^收：:6.4.5.10的目的IP位址，其與圖3的下文應用圖5 A，5 B及6說明本發明某些觀點的操 10 1312626 '作。圖5人說明邏輯流程圖，其顯示在一應用潛在動態網路配置之VPN中’使用IPSec傳送一網路訊包的程序。可以在圖1的位址102A-102E中至少一項内配置圖 5A的程序500。基本上，當由一 vpN邊界的閘道器接收一網路訊包時，進入程序5〇〇。在開始方塊502開始該程序5〇〇，其中決定在一選擇器表列中是否包含一接收網路訊包中的Ip位址。如果 IP位址不在該表列中，在程序5〇〇進行決定方塊5〇4。但是，如果發現在選擇器表列中，則進行方塊5〇8，其中使用任何的編密演算法以對網路訊包編密。在決定方塊504中’決定是否在IPSec動態路由查詢儲存器中存在該IP位址，來源及目的地，該儲存器如圖2的IPSec查詢儲存器266。在一實施例中，該iPSec 查詢儲存器使用一派翠西亞(patrieia)樹狀機構，而在另一實施例中’可以使用其他型式的樹狀資料結構。但是，本發明並不限於此，可以使用虛擬的任何搜尋及儲存機 φ 構。在任何的事件中’如果辨識在IPSec動態路由查詢儲存器中辨識存在匹配的情況，則該程序進行方塊 508 ’否則，進行方塊506，其中執行該訊包的共同的網路協定路由。當完成方塊5〇4後，該程序500路由到該呼叫程序以執行其他的動作。但是’如果該程序從決定方塊504或決定方塊502 至方塊508，則使用任何的編密演算法以對接收的資料訊包編密。該程序進入方塊510，其中如果編密的訊包 ⑧ 13 1312626 在另一（增強）網路訊包内。予以包封，其中該另一網路訊包使用ESP協定等配置其形態。另外，該增強式網路訊包尚使用一 IP位址，其與作目的IP位址的VPN上的出口閘道器相關。然後進行方塊506，其中使用多種共用訊包路由協定中的任何一種路由該增強式網路訊包。 ©元成方塊506之後，該程序500回到呼叫程序以執行其他的動作。圖5B說明一邏輯流程圖。其為一程序之一實施例，以用於應用一潛在的動態網路拓樸配置經由一 VPN更新一路由。在圖1之閘道器1〇2A-l〇2E中至少一項配置圖5B的程序520 〇基本上當在一 VPN的邊界由一閘道器接收一網路訊包時，進入該程序520。在一開始方塊520後開始該程序520，在一入口閑道器處的路由器的daemon從一同等組件(peer)中接收一路由更新的指示。該同等組件可以包含一〇SPF同等組件，一 Metahop同等組件’或者是由VPN保護之任何型鲁式的同等組件。其次，該程序進行決定組件524，其中該路由的虛擬應像器（daemon)可選擇地比較路由更新指示與一規則表列。如果該比較的結果相當確定，則該程序回到方塊506，其中由在該入口閘道器處的路由虛擬應像器更新該IPSec查詢的儲存值。然後該程序回到用於執行其他操作的呼叫程序。但是，如果在方塊524中的決定為負向的（對於路由〜更新不存在正的規則比較）’則該程序進入方塊528，其 14 1312626 ' r~ - , ·—… - 月奸修正替換頁工^該路由虛擬應像器將該路由更新的結果包含在一路 =土=。在此一例子中，在該IPSee查詢儲存值中沒有 ^各二路由更新的結果。其次，該程序回到用於執行其他的操作的呼叫程序。圖6說明本發明程序實施例的邏輯流程圖，係用於應用一潛在一動態網路拓樸配置使用在一 vpN的IpSec 而接收網路訊包。可以應用圖！之閘道器1〇2A_1〇2E中至少一巧配置圖6的程序600。基本上當在vpn内的另一閘道器從圖5的程序500中接收增強式網路訊包時，進入程序600。在開始方塊602之後開始該程序600，其中接收的網路訊包可以解密。然後該程序進入決定方塊6〇4，其中決定是否一選擇表列指示該接收的網路訊包中包含一中間網路跳頻(hop)。如果是’則該程序至方塊612，否則，該程序進入決定方塊606。在決定方塊606處，決定是否在該網路訊包内的jp 位址符合在該IPSec查詢儲存值中的IP位址，如圖2中的IPSec查詢單元266。在一實施例中，該ipsec查詢館存單元使用一派翠西亞(Patricia)樹狀結構。但是本發明並不限於此，本發明可以使用任何虛擬的搜尋及儲存機構。在任何事件中’如果發生相符的情況，則該程序進入方塊612，否則該程序進入方塊61〇。在方塊608，決定該網路訊包的路由是否涉及中間跳頻，若是涉及則將程序進入方塊612，否則進入方塊 610。在方塊612，該接收的網路訊包再編密。然後該程 15 1312626 -------------- 序進行方塊州，其尹該再、編密的訊中該VPN的出口閘道器的1?位址遘仃再包封。其使用該VPN的出口閘道器的Ip位址=IP來源位址，且以產生該再包封的（增強）網路訊包。乍為ίΡ目的位址，在方塊610令，使用任何丑^ 該接收的網路訊包。在對該網^ 两包路由協定路由來的再包封的數據訊包可作為路解密時，使用該原 IP目的位址以將該網路訊包路=用，使用該原來的塊610後，該程序口到該以目的地。當完成方明之解，上述說明的流程圖動作。明之流程圖之方塊的組合 =叼各方塊及在上述說置。可以提供程序程式指人^=腦程式的指令方式配使得這些在處理上執行處理器以產生-機器’ 驟，以為該處理器所執行二二可以導致—連串的操作步得該處理器上的指令提 ^生一電腦配置的程序，使的動作。驟以配置在流程方塊中指定因此，流程圖指令的的動作，支援步驟的組人鬼，援機構的結合執行特定式指令機構以執行特定二=執行特定的動作，且支援程的方塊及說明之流程中的=作。必需瞭解各說明流程中使用者配置，其執行於^塊可以由特用硬體為基礎的體及電腦指令的結合。9疋的動作或步驟，或指定目的硬雖然文中已應較佳眘#^ 需了解可對上述加以=施垅明本發明，但熟本技術者及觀點。本發明係下 ^及變更而不偏離本發明的精神 ’、中的申請專利範圍所定義。 1312626 【圖式簡單說明】圖1示用於實現本發明之一作業環境實施例的功能方塊圖。圖2示一網路裝置的實施例，該裝置可以包含在該配置本發明的系統中。圖3示圖1之功能方塊圖，其中包含與不同網路裝置相關之位址的實施例。圖4顯示一增強式網路訊包的實施例。圖5A顯示一邏輯流程圖，其顯示用於傳送一網路訊包之程序的實施例。圖5B為一邏輯流程圖，其顯示用於傳送一網路訊包之程序的另一實施例，以及圖6為一邏輯流程圖，其顯示依據本發明，用於接收一網路訊包之程序的另一實施例。【主要元件符號說明】 ⑧ 100 作業環境 102A-102E閘道器 104 網路 106及108外部閘道器 118A 及118B客戶端 200，400 網路裝置 210 網路介面單元 212 處理單元 214 視訊顯示適配器 218 輸入/輸出系統(BIOS) 220 作業系統 222 匯流排 224 輸入/輸出介面 17 1312626 226 CD-ROM/DVD-ROM 驅動器 228 硬碟裝置 250 260 路由應用程式 262 264 IPsec的應用程式 266 402 來源位址表頭 404 406 包封安全酬載(ESP)表頭 408 資料欄位 410 412 原始IP來源表頭 414 416 原始資料 500 502 開始方塊 504 506 進行方塊 508 510 程序進入方塊應用程式選擇器儲存程式 IPsec查詢儲存目的位址表頭網路訊包原始IP目的表頭程序決定方塊進行方塊 18

Claims

1312626 奸年/月抑修正替換頁十、申請專利範圍： 1. 一種應用訊包傳送（packet routing)整合包封 (encapsulation)及編密（encryption)的方法，該方法包含下列步驟：將包含在包封的訊包中之一編密的訊包解密，其中該包封的訊包係在一網路上接收到的；如果在選擇益表中指出有該解密訊包的中間跳頻 (hop)，則將該解密的訊包再編密及將其包含在另一包封的訊包中，並將該另一包封的訊包傳送至出口閘道器；以及。，如果該解密訊包與該中間跳頻不相關，則將該的訊包傳送到其目的地。 1項之方法，進一步包含下列 2.如申請專利範圍第步驟：決定在該解密訊包中的目的位址路通訊協定保護(ipsec)查詢儲存單元巾；3在網際網決定是否對於包含在該lpsec查詢 _ 的位址指示存在一中間跳頻；早π中的目再編密該解密訊包，其中該解密間跳頻的目的位址；以及不該中的訊包，其中將在另包封§凡包中再包封該再編密其他的包封訊包傳送到該出口閘道器。 19 1312626 —_____________ 资年/月#日修正替換頁 3. 如申請專利範圍第1項之方法，其中該另一包封的訊包使用該出口閘道器的目的IP位址，及入口閘道器的來源IP位址。 4. 如申請專利範圍第1項之方法，進一步包含下列步驟：接收一訊包，其中該訊包未被編密；如果在該選擇器表中包含該接收訊包的一目的位址及一來源位址，則決定是否在一 IPsec查詢儲存單元中包含該目的位址及該來源位址；編密該訊包，其中該訊包包含該來源位址及該目的位址，且同時包含在該選擇器表及該IPsec查詢儲存單元中；包封該包封訊包中的編密訊包；以及將該包封的訊包前送到該包封訊包中。 5. 如申請專利範圍第4項之方法，其中該包封的訊包使用出口閘道器的目的IP位址及入口閘道器的來源 IP位址。 6.如申請專利範圍第1項之方法，其中包含在該包封訊包中的編密訊包包含目的位址及來源位址，這些目的位址及其他來源位址與包含在該包封訊包中的其他目的位址及其他來源位址彼此分開。 20 1312626 _ 月及日修正替換頁丨 ί 7. 如申請專利範圍第6項之方法，其中該其他的目的位址與出口閘道器相關，而該其他的來源位址與入口閘道器相關。 8. 如申請專利範圍第1項之方法，其中尚包含下列步驟：如果接收到的路由更新資料與至少一規則相關，則應用該路由更新資料更新IPsec查詢儲存單元；以及如果所接收的路由更新資料與至少一規則不相關，則更新路由表。 9.一種應用訊包傳送整合包封及編密的裝置，該裝置包含：一儲存指令的記憶體；以及一處理器，用以基於該指令之至少一部份動作，該動作包含：將一編密的訊包解密，其中該編密的訊包包含在一包封的訊包中，其中在一網路上接收該包封的訊包；如果選擇器表中指示用於該解密訊包的中間跳頻’ 則將該解密的訊包再編密，並包含在另一包封的訊包中，其中該另一包封的訊包係被傳送至出口閘道器；以及如果該解密訊包與中間跳頻不相關，則將該解密的 21 1312626 年/月彳日修正替換訊包傳送到其目的地。 10. 如申請專利範圍第9項之裝置，其中該動作尚包含：決定在該解密訊包中的目的位址是否包含在IPsec 查詢儲存單元中；決定是否對於包含在該IPsec查詢儲存單元中的目的位址指示存在中間跳頻；再編密該解密訊包，其中該解密訊包包含指示該中間跳頻的目的位址；以及在另一包封訊包中再包封該再編密的訊包，其中將該另一包封訊包傳送到該出口閘道器。 11. 如申請專利範圍第9項之裝置，其中該另一包封的訊包使用該出口閘道器的目的IP位址及入口閘道器的來源IP位址。 12. 如申請專利範圍第9項之裝置，其中該動作尚包含：接收一訊包，其中該訊包未被編密；如果在該選擇器表中包含該接收訊包的目的位址及來源位址，則決定是否在IPsec查詢儲存單元中包含該目的位址及該來源位址；編密該訊包，其中該訊包包含該來源位址及該目的 22 1312626 ———_ . :¾2年/月，日修正替換頁位址，而該等位址係包含在該選擇器表及該IPsec查詢儲存單元中；包封該編密訊包於包封訊包中的；以及將該包封訊包傳送到其目的地。 13.如申請專利範圍第12項之裝置，其中該包封訊包使用該出口閘道器的目的IP位址及入口閘道器的來源IP位址。 14. 如申請專利範圍第9項之裝置，其中包含在該包封訊包中的編密訊包含有目的位址及來源位址，這些目的位址及來源位址與包含在該包封訊包中的其他目的位址及其他來源位址彼此分開。 15. 如申請專利範圍第14項之裝置，其中該其他目的位址與該出口閘道器相關，而其他來源位址與入口閘道器相關。 16. 如申請專利範圍第9項之裝置，其中該裝置包含傳送器、防火牆、伺服器及網路裝置中之至少一者。 17. 如申請專利範圍第9項之裝置，進一步包含：一用以實行操作之路由虛擬應像器（daemon)，該操作，包含： 23 1312626 第94131407號專利申請案補充、修正後無劃線之說明書修正頁一式三份如果接收到的路由更新資料與至小一應用該路由更新資料更新一 IPs眈杳規則相關，則如果接收該路由更新資料與至;S一儲存單元；以及更新一路由表。、^一規則不相關，則密，其中 18. —種電腦可讀取的媒體，該的指令，其中該多個指令可執行下列=多個可執行將包含在包封的訊包中之一編乍. 該包封的訊包係在—網路上接收:δί1包解密’ 如果在選擇器表列中指出有該密㈣)，則將該解密的訊包再 =的中間跳頻以及的訊包中’並將該另-包封的訊包封 ‘頻不相關，則將該解密的訊包傳送到其目的地如果該解密訊包與該中間跳其中範圍第18項之電财讀取的媒鍾， ϊ:ϊ;ί密訊包中的目的位址是否查詢儲存單元中；包含在IPsec 的位^存單元中的目間跳頻的及其中該解密訊包包含指示該中 24 1312626 歹多年/月fFl修正替換頁在另一包封訊包中再包封該再編密的訊包，其中將該另一包封訊包傳送到該出口閘道器。 20.如申請專利範圍第18項之電腦可讀取的媒體，該包封訊包使用出口閘道器的目的IP位址及入口閘道器的來源IP位址。 21.如申請專利範圍第18項之電腦可讀取的媒體，其中該動作尚包含：接收一訊包’其中該訊包未被編密；如果在該選擇裔表中包含該接收訊包的目的位址及來源位址’則決定是否在IPsec查詢儲存單元中包含該目的位址及該來源位址；編密該訊包，其中該訊包包含該來源位址及該目的位址’而該料址係包含在該選擇器表及該正咖儲存單元中； — 包封該編後包於包封訊包中的.以及^ 將該包封訊包傳送到其目的地。含： 22.—種用以整合IPsec 及訊包傳it操作的裝置，包以及動作的處理器該一用以儲存多個指令的記憶體；一用以使用該多個指令進行下述動作包含： 25 1312626 月才曰修正替換頁決定接收到的訊包是否包封一編密訊包，如果是，則執行下列動作：將包含在該包封訊包中的編密訊包解密；如果中間跳頻與該解密訊包相關，則將含於另一包封訊包中之解密封包再編密，並將該另一包封訊包傳送至出口閘道器；以及如果該解密訊包與中間跳頻不相關，則將該解密訊包傳送到其目的地。 26 1312626 9<^· / /1 <s^ % Ά

圖6