TWI312626B - Method and apparatus for integrating encapsulation and encryption with packet routing - Google Patents

Method and apparatus for integrating encapsulation and encryption with packet routing Download PDF

Info

Publication number
TWI312626B
TWI312626B TW094131407A TW94131407A TWI312626B TW I312626 B TWI312626 B TW I312626B TW 094131407 A TW094131407 A TW 094131407A TW 94131407 A TW94131407 A TW 94131407A TW I312626 B TWI312626 B TW I312626B
Authority
TW
Taiwan
Prior art keywords
packet
address
destination
gateway
encapsulated
Prior art date
Application number
TW094131407A
Other languages
English (en)
Other versions
TW200625875A (en
Inventor
D Asnis James
S Lehtonen Teemu
Kartau Olev
Original Assignee
Nokia Corporatio
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Corporatio filed Critical Nokia Corporatio
Publication of TW200625875A publication Critical patent/TW200625875A/zh
Application granted granted Critical
Publication of TWI312626B publication Critical patent/TWI312626B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/56Routing software
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

1312626 鮮/月打!奴替換頁 九、發明說明: 【發明所屬之技術領域】 本發明係關於網際網路協定之網際網路協定聯 拓樸配置,尤其是(但不限於)在虛擬私人使用之網路 動態網路的拓樸配置的路由及網際網路通訊協 (Ipsec)的整合。 【先前技術】 虛擬的私用網路(VPN)可以在外部/未俨託 (imtmstecDIP網路(如網際網路)上產生安全的通訊。:^;ν 友:供相當安全的方式以在内部信託的網路上連結節點, 其中各網路連結的距離相當遙遠,如客戶端,伺服端及 主機電腦。基本上使用編密及其他安全的方式以產生安 全的點對點通道,而且可以在一未信託的外部網路上的 未授權的使用者接受進行文字/訊包訊息的素化 (plain)。基本上將”素化的文字,,訊包編密且插入路由器 的訊包間。内”素化文字,,訊包實際上在一未信託的外部 網路上從一 VPN閘道器向另一 VPN閘道器前送,其中 外部的訊包被解密且在該外部網路上將内”素化文字,,訊 包前送到在内部網路上的目的地。其他的訊包作為一保 護的外殼或在從該外部未信託網路上從/節點向另一節 點傳送時之”素化文字”的包封。 基本上,VPN中的閘遘器得到如在其内部網路上用 於IP訊務的路由器。例如,當從一信託之内部網路上的 節點接收到一素化文字訊包時,該VPN閘道器查詢在一 選擇表列上的目的地,以该訊包是否指甸在局部連結之 1312626 内部網路外部的目的地,或査詢是否在向目的地連結時 必需編密。如果需要,則vpN閘道器安全地將該文子 訊包傳送到一特定的VPN閘道器同等裝置,其與在外 部未信託網路上的目的地有關。特定的VPN閘道器同等 裝置決定是否傳送訊包的目的地在其自有的選择地表列 上。如果是,則解密該編密的訊包,且前送到其局部連 結内部網路上的節點。另外,如果’’素化文字’’訊包的目 的地不在該選擇器表列上,但是已是路由器表列中的項 目,則VPN閘道器必需將該未包封的素化文字訊包前送 到其目的地。
當愈來愈多的閘道器被加到VPN時,發展出網狀的 配置方式’其中在VPN中所有的閘道器均知曉每一個其 他的閘道器。而且,在VPN中的各個閘道器之間可以建 立通訊通道。但是,因為各通道與各閘道器中之維持的 一表列中的選擇器有關,只要將一新的閘道器加入該 VPN時’管理人員必需更新此表列,或者是動態改變一 路由器。所以,在VPN中的閘道器的數目也成長,必需 在各閘道器中更新選擇器之各表列的效應變得冗餘煩 瑣。而真’在VPN閘道器中使用的包封服務並不知道動 態路由的改變。 【發明內容】 下交·中參考附圖將更詳盡地說明本發明,該等圖為 本發明之了部份,其中說明例本發明之特定實施例。但 是本發明並不限於這些特定實施例,這些實施例係用於 ⑧ 6 1312626 70、地表達本發明的概念。本發明可以以方法或裝置的 方式實現,也可以以軟體或硬體的方式呈現。因此下文 中的詳細說明並非用於限制本發明。
簡言之本發明與使用IPSec之訊包的路由系統,方 法及裴置相關,且由在一在VPN中之動態網路佈局的一 般路由協定相關。本發明中說明一架構可安全地傳送訊 包’係使用一開放式系統互連結(〇Sl)層的三個資訊,如 來源及目的位址。在一實施例中,使用一樹狀的結構以 尋找可能與一保護的次網路相關的IP位址,該訊包可以 使用如IP包封安全酬載(ESP)之類的協定而編密且組包 封’等等。整個訊包可以編密(encrypted)及包封 (encapsulated),包含原始目的地及來源ip位址表頭資 訊。使用與一至一 IPSec隧道之入口閘道器及出口閘道 器相關的ΠΜ立址,而對於其他訊包提供新的來源及目的 IP位址。當新的訊包到達其目的地時,其可以解密及解 包封,且使用原來的IP位址表頭資訊路由。 【實施方式】 圖1的功能方塊圖說明本發明作業環境1〇〇之一實 施例,其中該作業環境說明本發明。作業環境100只是 本發明中的適當作業環境的例子,並非用於限制本發 明。因此其他的作業環境及配置方式均可以使用在本發 明中,而不偏離本發明觀點或精神。 如圖所示’作業環境100包含閘道器102A-102E, 其使用通道而在網路104上互相連結。外部閘道器 7 1312626 及108經由不同的閘道器而應用網路i〇4通訊。客戶端 118與外部閘道器1〇8通訊,且客戶端i18B與外部客戶 端106通訊。 一般,閘道器102A-102E及外部閘道器106及108 可以包含虛擬及計算裝置,其可以連結到另一計算裝 置’以在一網路上傳送及接收資訊,其包含路由器,防 火牆等。因此這些裝置稱為閘道器,其實際上可以配置 _ 為一路由器,或者是類似的網路裝置。下文使用圖2更 詳細地說明閘道器102A-102E的實施例。 客戶端118A及118B的裝置類型可以包含虛擬地任 何可以使用如個人電腦,多處理器系統,基於可程式消 費性電子’網路PC等的有線或無線之通訊媒體而在一 網路上傳送的任何計算裝置。 配置網路104以使用任何型式之電腦可讀取媒體, 以將資訊從一電子裝置向另一装置傳送,以另一裝置可 以是osi模型中第三層及第四層的裝置。而且網路1〇4 # 可以包含除了區域網路(LAN),大區域網路(WAN)直接 連結或任何的組合外的網際網路。在LAN之互連結組 上,切換基於不同架構及協定者,可以使用一路由器, 以作為LAN之間的連結,以使得資訊可以從一裝置向另 一裝置傳送。基本上’ LAN㈣通訊連結包含雙絞線或 同軸電纔,而在網路之間的通訊連結可以使用類比電話 包含T1,T2’T3及T4的全或部份專用數位線路, 或者是熟知的整體服務數位網路(ISDN),數位用戶線路
(S 8 1312626 ’或其他熟知的通訊 另外,網路1〇4可以包含通訊移動, 線如電腦可讀取的指令,資料結構, 在-調變之資料信號中的其他資料,如;波:疋 =傳送機構,且包含任何其他 = 項S調變的資料信號”及”載波信號,,包媒: 二或多個特徵組’或以編碼,指令,資料等;變V例 如’通訊媒體包含在⑽模型之第3及4層中 ^如(但不限於)雙絞線’同軸電纜,光纖 、'及 其他的有線或無線媒體,如(但不限於)聲,RF, 或其他的無線媒體。 v外跟 發明網路裝置之實施例,伽於說明依據本 發明實施例-閘道器的操作,如圖!之閘道器 1〇=-咖。網路裝置細可以包含圖i中顯^多個 日=件。該轉只作為實關朗用’而非用於限制本發 1路裝置彻包含處理單元212,視訊顯示適配器 ’及一大型記憶體,均經由匯流排222通訊。大型記 沾可以包含RAM216,ROM232,或一或多個永久性 驅^錯存裝置,如硬縣置228,卡帶_器,光碟 器,及/或軟碟驅動器。大型記憶體儲存作業系統 的以控制網路裝置2〇〇的操作❶可以使用任何錯誤目 、的作業系統。使用的輸人/輸出系統(BI〇S)218也提供 9 裝置200的低階操#。如圖2所示,網路裝 _ 、網際網路,或其他的通訊網路經由一網路介 通訊’賴此單如制不_通訊協定, ^ 2一 不限於)RIP,0SPF,SNMp,http,vdp/ip,tct/ip t ’等°例如’在""實施例中,網路介面單元210可 時應用TCP及IP多向傳送的多點通訊方式。 I時僅網路介面單元21G也稱為收發機,網路介面卡 (NIC) ° 網路裝置200也包含用於傳送及接收電子郵件的 MTP處理器應用,用於接收及處理HTTP要求的HTTP 處理器應用,及用於處理安全連結的HTTps處理器應 用。HTTPS處理器應用可以應用安全的方式與外部的應 用程式通訊。而且,網路裝置尚包含_應用,其支 援虛擬地及安全的連結,包含(但不限於)TLS,TTLs, ΕΑΡ ’ SSL ’ IPSec,等。 網路裝置200有包含輸入/輸出介面224,以與外部 裝置通訊,該外部裝置如滑鼠,鍵盤,掃瞄器,或其他 圖2所示的輸入裝置。同樣地,網路裝置2〇〇尚包含額 外的大型儲存裝置,如CD_R〇M/DVD_R〇M驅動器226 及硬碟驅動器228。可以使用硬碟228以儲存應用程式, 資料庫,客戶、裝置資訊,政策,安全資訊,包含(但不限 於)證書,密件,通行碼,等。 可以將一或多個應用程式250载入大型記憶體中, 且在作業系統220上通訊。應用程式的例子如傳碼器’ 1312626 、 排程器,圖型程式資料庫程式,字元處理程式,Ηττρ 程式,使用者介面程式,不同的安全程式等。大型記憶 體可以為應用程式,如路由應用程式260,選擇器健;^ 程式262,IPSec的應用程式264,IPSec詢查儲存器266。 完成應用程式可以與其他在該網路裝置上的元件,其他 的網路裝置,閘道器等互動。 、 雖然圖2中以不同的元件說明,本發明中也可以將 路由應用260,選擇器儲存262,IPSec應用264及IPSec 查β旬儲存266等進行不同的組合,此均在本發明的範圍 内。例如,可以將IPSec應用264及IPSec查詢儲存266 可整合成單一的應用或數個不同的應用,而且IPSee應 用264,IPSeC查詢儲存266等的元件可以内駐在一或多 個類似網路200的計算裝置内。 圖3說明具有與不同網路裝置相關的位址的一實施 例的圖1的功能方塊圖。圖3的系統實際上類似圖 的系統100。因此’具有相同標示的元件具有不同的對 • ^關係。例如,如圖所示,192.6.5.10的IP位址與客戶 j 相關。IP位址1〇 2 3 4與客戶端ιΐ8Α相關。同 壬’ IP位址20.3.5.10與閘道器1〇2D相關,而ιρ位 =6.4.5.K)與閘道器1Q2a相關。顯然地,此正位址只 A’’’、說明例用’實際上任何的IP位址可以與該元件配 口 =使用f位址說明實施例中本發明的操作方式。 4顯不一增強式網路訊包的實施例。增強式網路 §匕400可以包含比圖中顯示更多的元件。但是顯示的 (g 1312626 元件足以實現本發明。 如圖所示,增強式網路訊包働包含 頭402,目的位址㈣404,包封安全酬载_)表^ 406,及資料欄位视。資料襴位4〇8包含網路訊包4ι〇, 其網路訊包包含原始IP來源表頭412,原始Ιρ 頭414及原始資料416。 、° 的衣 可以配置增強式網路訊包働以 (RFO2406之網際網路必備要件中說明之Ip Esp 1之 該簡述項現併人本發明中。例如,在朗 包封資料欄位概的内容月的=發協明 等的通訊通道模式財以配置 的二=:;P為位了=^^ 始1P目的位址為IP位址_而4用二:路2 ί;=:Α3:原始網路訊包_客戶端.删傳4 訊強 内編密及包封該網路 „,;r 2;ί sr ^ 蜞包400也顯 ,..ια 〇相關。增強式網路 ^收::6.4.5.10的目的IP位址,其與圖3的 下文應用圖5 A,5 B及6說明本發明某些觀點的操 10 1312626 '作。圖5人說明邏輯流程圖,其顯示在一應用潛在動態 網路配置之VPN中’使用IPSec傳送一網路訊包的程 序。可以在圖1的位址102A-102E中至少一項内配置圖 5A的程序500。基本上,當由一 vpN邊界的閘道器接 收一網路訊包時,進入程序5〇〇。 在開始方塊502開始該程序5〇〇,其中決定在一選 擇器表列中是否包含一接收網路訊包中的Ip位址。如果 IP位址不在該表列中,在程序5〇〇進行決定方塊5〇4。 但是,如果發現在選擇器表列中,則進行方塊5〇8,其 中使用任何的編密演算法以對網路訊包編密。 在決定方塊504中’決定是否在IPSec動態路由查 詢儲存器中存在該IP位址,來源及目的地,該儲存器如 圖2的IPSec查詢儲存器266。在一實施例中,該iPSec 查詢儲存器使用一派翠西亞(patrieia)樹狀機構,而在另 一實施例中’可以使用其他型式的樹狀資料結構。但是, 本發明並不限於此,可以使用虛擬的任何搜尋及儲存機 φ 構。在任何的事件中’如果辨識在IPSec動態路由查詢 儲存器中辨識存在匹配的情況,則該程序進行方塊 508 ’否則,進行方塊506,其中執行該訊包的共同的網 路協定路由。當完成方塊5〇4後,該程序500路由到該 呼叫程序以執行其他的動作。 但是’如果該程序從決定方塊504或決定方塊502 至方塊508,則使用任何的編密演算法以對接收的資料 訊包編密。該程序進入方塊510,其中如果編密的訊包 ⑧ 13 1312626 在另一(增強)網路訊包内。予以包封,其中該另一網路 訊包使用ESP協定等配置其形態。另外,該增強式網路 訊包尚使用一 IP位址,其與作目的IP位址的VPN上的 出口閘道器相關。然後進行方塊506,其中使用多種共 用訊包路由協定中的任何一種路由該增強式網路訊包。 ©元成方塊506之後,該程序500回到呼叫程序以執行 其他的動作。 圖5B說明一邏輯流程圖。其為一程序之一實施例, 以用於應用一潛在的動態網路拓樸配置經由一 VPN更 新一路由。在圖1之閘道器1〇2A-l〇2E中至少一項配置 圖5B的程序520 〇基本上當在一 VPN的邊界由一閘道 器接收一網路訊包時,進入該程序520。 在一開始方塊520後開始該程序520,在一入口閑 道器處的路由器的daemon從一同等組件(peer)中接收一 路由更新的指示。該同等組件可以包含一 〇SPF同等組 件,一 Metahop同等組件’或者是由VPN保護之任何型 鲁式的同等組件。其次,該程序進行決定組件524,其中 該路由的虛擬應像器(daemon)可選擇地比較路由更新指 示與一規則表列。如果該比較的結果相當確定,則該程 序回到方塊506,其中由在該入口閘道器處的路由虛擬 應像器更新該IPSec查詢的儲存值。然後該程序回到用 於執行其他操作的呼叫程序。 但是,如果在方塊524中的決定為負向的(對於路由 〜更新不存在正的規則比較)’則該程序進入方塊528,其 14 1312626 ' r~ - , ·—… - 月奸修正替換頁 工^該路由虛擬應像器將該路由更新的結果包含在一路 =土=。在此一例子中,在該IPSee查詢儲存值中沒有 ^各二路由更新的結果。其次,該程序回到用於執行其 他的操作的呼叫程序。 圖6說明本發明程序實施例的邏輯流程圖,係用於 應用一潛在一動態網路拓樸配置使用在一 vpN的IpSec 而接收網路訊包。可以應用圖!之閘道器1〇2A_1〇2E中 至少一巧配置圖6的程序600。基本上當在vpn内的另 一閘道器從圖5的程序500中接收增強式網路訊包時, 進入程序600。 在開始方塊602之後開始該程序600,其中接收的 網路訊包可以解密。然後該程序進入決定方塊6〇4,其 中決定是否一選擇表列指示該接收的網路訊包中包含一 中間網路跳頻(hop)。如果是’則該程序至方塊612,否 則,該程序進入決定方塊606。 在決定方塊606處,決定是否在該網路訊包内的jp 位址符合在該IPSec查詢儲存值中的IP位址,如圖2中 的IPSec查詢單元266。在一實施例中,該ipsec查詢館 存單元使用一派翠西亞(Patricia)樹狀結構。但是本發明 並不限於此,本發明可以使用任何虛擬的搜尋及儲存機 構。在任何事件中’如果發生相符的情況,則該程序進 入方塊612,否則該程序進入方塊61〇。 在方塊608,決定該網路訊包的路由是否涉及中間 跳頻,若是涉及則將程序進入方塊612,否則進入方塊 610。 在方塊612,該接收的網路訊包再編密。然後該程 15 1312626 -------------- 序進行方塊州,其尹該再、編密的訊 中該VPN的出口閘道器的1?位址 遘仃再包封。其 使用該VPN的出口閘道器的Ip位址=IP來源位址,且 以產生該再包封的(增強)網路訊包。乍為ίΡ目的位址, 在方塊610令,使用任何丑^ 該接收的網路訊包。在對該網^ 两包路由協定路由 來的再包封的數據訊包可作為路解密時,使用該原 IP目的位址以將該網路訊包路=用,使用該原來的 塊610後,該程序口到該 以目的地。當完成方 明之解,上述說明的流程圖動作。 明之流程圖之方塊的組合 =叼各方塊及在上述說 置。可以提供程序程式指人^=腦程式的指令方式配 使得這些在處理上執行處理器以產生-機器’ 驟,以為該處理器所執行二二可以導致—連串的操作步 得該處理器上的指令提 ^生一電腦配置的程序,使 的動作。 驟以配置在流程方塊中指定 因此,流程圖指令的 的動作,支援步驟的組人鬼,援機構的結合執行特定 式指令機構以執行特定二=執行特定的動作,且支援程 的方塊及說明之流程中的=作。必需瞭解各說明流程中 使用者配置,其執行於^塊可以由特用硬體為基礎的 體及電腦指令的結合。9疋的動作或步驟,或指定目的硬 雖然文中已應較佳眘#^ 需了解可對上述加以=施垅明本發明,但熟本技術者 及觀點。本發明係下 ^及變更而不偏離本發明的精神 ’、 中的申請專利範圍所定義。 1312626 【圖式簡單說明】 圖1示用於實現本發明之一作業環境實施例的功能 方塊圖。 圖2示一網路裝置的實施例,該裝置可以包含在該 配置本發明的系統中。 圖3示圖1之功能方塊圖,其中包含與不同網路裝 置相關之位址的實施例。 圖4顯示一增強式網路訊包的實施例。 圖5A顯示一邏輯流程圖,其顯示用於傳送一網路 訊包之程序的實施例。 圖5B為一邏輯流程圖,其顯示用於傳送一網路訊 包之程序的另一實施例,以及 圖6為一邏輯流程圖,其顯示依據本發明,用於接 收一網路訊包之程序的另一實施例。 【主要元件符號說明】 ⑧ 100 作業環境 102A-102E閘道器 104 網路 106及108外部閘道器 118A 及118B客戶端 200,400 網路裝置 210 網路介面單元 212 處理單元 214 視訊顯示適配器 218 輸入/輸出系統(BIOS) 220 作業系統 222 匯流排 224 輸入/輸出介面 17 1312626 226 CD-ROM/DVD-ROM 驅動器 228 硬碟裝置 250 260 路由應用程式 262 264 IPsec的應用程式 266 402 來源位址表頭 404 406 包封安全酬載(ESP)表頭 408 資料欄位 410 412 原始IP來源表頭 414 416 原始資料 500 502 開始方塊 504 506 進行方塊 508 510 程序進入方塊 應用程式 選擇器儲存程式 IPsec查詢儲存 目的位址表頭 網路訊包 原始IP目的表頭 程序 決定方塊 進行方塊 18

Claims (1)

1312626 奸年/月抑修正替換頁 十、申請專利範圍: 1. 一種應用訊包傳送(packet routing)整合包封 (encapsulation)及編密(encryption)的方法,該方法包含下 列步驟: 將包含在包封的訊包中之一編密的訊包解密,其中 該包封的訊包係在一網路上接收到的; 如果在選擇益表中指出有該解密訊包的中間跳頻 (hop),則將該解密的訊包再編密及將其包含在另一包封 的訊包中,並將該另一包封的訊包傳送至出口閘道器; 以及 。, 如果該解密訊包與該中間跳頻不相關,則將該 的訊包傳送到其目的地。 1項之方法,進一步包含下列 2.如申請專利範圍第 步驟: 決定在該解密訊包中的目的位址 路通訊協定保護(ipsec)查詢儲存單元巾;3在網際網 決定是否對於包含在該lpsec查詢 _ 的位址指示存在一中間跳頻; 早π中的目 再編密該解密訊包,其中該解密 間跳頻的目的位址;以及 不該中 的訊包,其中將 在另包封§凡包中再包封該再編密 其他的包封訊包傳送到該出口閘道器。 19 1312626 —_____________ 资年/月#日修正替換頁 3. 如申請專利範圍第1項之方法,其中該另一包封 的訊包使用該出口閘道器的目的IP位址,及入口閘道器 的來源IP位址。 4. 如申請專利範圍第1項之方法,進一步包含下列 步驟: 接收一訊包,其中該訊包未被編密; 如果在該選擇器表中包含該接收訊包的一目的位址 及一來源位址,則決定是否在一 IPsec查詢儲存單元中 包含該目的位址及該來源位址; 編密該訊包,其中該訊包包含該來源位址及該目的 位址,且同時包含在該選擇器表及該IPsec查詢儲存單 元中; 包封該包封訊包中的編密訊包;以及 將該包封的訊包前送到該包封訊包中。 5. 如申請專利範圍第4項之方法,其中該包封的訊 包使用出口閘道器的目的IP位址及入口閘道器的來源 IP位址。 6.如申請專利範圍第1項之方法,其中包含在該包 封訊包中的編密訊包包含目的位址及來源位址,這些目 的位址及其他來源位址與包含在該包封訊包中的其他目 的位址及其他來源位址彼此分開。 20 1312626 _ 月及日修正替換頁丨 ί 7. 如申請專利範圍第6項之方法,其中該其他的目 的位址與出口閘道器相關,而該其他的來源位址與入口 閘道器相關。 8. 如申請專利範圍第1項之方法,其中尚包含下列 步驟: 如果接收到的路由更新資料與至少一規則相關,則 應用該路由更新資料更新IPsec查詢儲存單元;以及 如果所接收的路由更新資料與至少一規則不相關, 則更新路由表。 9.一種應用訊包傳送整合包封及編密的裝置,該裝 置包含: 一儲存指令的記憶體;以及 一處理器,用以基於該指令之至少一部份動作,該 動作包含: 將一編密的訊包解密,其中該編密的訊包包含在一 包封的訊包中,其中在一網路上接收該包封的訊包; 如果選擇器表中指示用於該解密訊包的中間跳頻’ 則將該解密的訊包再編密,並包含在另一包封的訊包 中,其中該另一包封的訊包係被傳送至出口閘道器;以 及 如果該解密訊包與中間跳頻不相關,則將該解密的 21 1312626 年/月彳日修正替換 訊包傳送到其目的地。 10. 如申請專利範圍第9項之裝置,其中該動作尚包 含: 決定在該解密訊包中的目的位址是否包含在IPsec 查詢儲存單元中; 決定是否對於包含在該IPsec查詢儲存單元中的目 的位址指示存在中間跳頻; 再編密該解密訊包,其中該解密訊包包含指示該中 間跳頻的目的位址;以及 在另一包封訊包中再包封該再編密的訊包,其中將 該另一包封訊包傳送到該出口閘道器。 11. 如申請專利範圍第9項之裝置,其中該另一包封 的訊包使用該出口閘道器的目的IP位址及入口閘道器 的來源IP位址。 12. 如申請專利範圍第9項之裝置,其中該動作尚包 含: 接收一訊包,其中該訊包未被編密; 如果在該選擇器表中包含該接收訊包的目的位址及 來源位址,則決定是否在IPsec查詢儲存單元中包含該 目的位址及該來源位址; 編密該訊包,其中該訊包包含該來源位址及該目的 22 1312626 ———_ . :¾2年/月,日修正替換頁 位址,而該等位址係包含在該選擇器表及該IPsec查詢 儲存單元中; 包封該編密訊包於包封訊包中的;以及 將該包封訊包傳送到其目的地。 13.如申請專利範圍第12項之裝置,其中該包封訊 包使用該出口閘道器的目的IP位址及入口閘道器的來 源IP位址。 14. 如申請專利範圍第9項之裝置,其中包含在該包 封訊包中的編密訊包含有目的位址及來源位址,這些目 的位址及來源位址與包含在該包封訊包中的其他目的位 址及其他來源位址彼此分開。 15. 如申請專利範圍第14項之裝置,其中該其他目 的位址與該出口閘道器相關,而其他來源位址與入口閘 道器相關。 16. 如申請專利範圍第9項之裝置,其中該裝置包含 傳送器、防火牆、伺服器及網路裝置中之至少一者。 17. 如申請專利範圍第9項之裝置,進一步包含: 一用以實行操作之路由虛擬應像器(daemon),該操 作,包含: 23 1312626 第94131407號專利申請案 補充、修正後無劃線之說明書修正頁一式三份 如果接收到的路由更新資料與至小一 應用該路由更新資料更新一 IPs眈杳 規則相關,則 如果接收該路由更新資料與至;S一儲存單元;以及 更新一路由表。 、^一規則不相關,則 密,其中 18. —種電腦可讀取的媒體,該 的指令,其中該多個指令可執行下列=多個可執行 將包含在包封的訊包中之一編乍. 該包封的訊包係在—網路上接收:δί1包解密’ 如果在選擇器表列中指出有該密 ㈣),則將該解密的訊包再 =的中間跳頻 以及 的訊包中’並將該另-包封的訊包封 ‘頻不相關,則將該解密 的訊包傳送到其目的地 如果該解密訊包與該中間跳 其中範圍第18項之電财讀取的媒鍾, ϊ:ϊ;ί密訊包中的目的位址是否 查詢儲存單元中; 包含在IPsec 的位^存單元中的目 間跳頻的及其中該解密訊包包含指示該中 24 1312626 歹多年/月fFl修正替換頁 在另一包封訊包中再包封該再編密的訊包,其中將 該另一包封訊包傳送到該出口閘道器。 20.如申請專利範圍第18項之電腦可讀取的媒體, 該包封訊包使用出口閘道器的目的IP位址及入口閘道 器的來源IP位址。 21.如申請專利範圍第18項之電腦可讀取的媒體, 其中該動作尚包含: 接收一訊包’其中該訊包未被編密; 如果在該選擇裔表中包含該接收訊包的目的位址及 來源位址’則決定是否在IPsec查詢儲存單元中包含該 目的位址及該來源位址; 編密該訊包,其中該訊包包含該來源位址及該目的 位址’而該料址係包含在該選擇器表及該正咖 儲存單元中; — 包封該編後包於包封訊包中的.以及^ 將該包封訊包傳送到其目的地。 含: 22.—種用以整合IPsec 及訊包傳it操作的裝置,包 以及 動作的處理器 該 一用以儲存多個指令的記憶體; 一用以使用該多個指令進行下述 動作包含: 25 1312626 月才曰修正替換頁 決定接收到的訊包是否包封一編密訊包,如果是, 則執行下列動作: 將包含在該包封訊包中的編密訊包解密; 如果中間跳頻與該解密訊包相關,則將含於另一包 封訊包中之解密封包再編密,並將該另一包封訊包傳送 至出口閘道器;以及 如果該解密訊包與中間跳頻不相關,則將該解密訊 包傳送到其目的地。 26 1312626 9<^· / /1 <s^ % Ά
圖6
TW094131407A 2004-09-15 2005-09-13 Method and apparatus for integrating encapsulation and encryption with packet routing TWI312626B (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/941,772 US7647492B2 (en) 2004-09-15 2004-09-15 Architecture for routing and IPSec integration

Publications (2)

Publication Number Publication Date
TW200625875A TW200625875A (en) 2006-07-16
TWI312626B true TWI312626B (en) 2009-07-21

Family

ID=36035475

Family Applications (1)

Application Number Title Priority Date Filing Date
TW094131407A TWI312626B (en) 2004-09-15 2005-09-13 Method and apparatus for integrating encapsulation and encryption with packet routing

Country Status (6)

Country Link
US (1) US7647492B2 (zh)
EP (1) EP1794937A1 (zh)
KR (1) KR20070053345A (zh)
CN (1) CN101048978A (zh)
TW (1) TWI312626B (zh)
WO (1) WO2006030266A1 (zh)

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7978716B2 (en) 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
US8739274B2 (en) * 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
ATE535078T1 (de) 2004-07-23 2011-12-15 Citrix Systems Inc Verfahren und system zur sicherung von zugriff aus der ferne auf private netze
EP1771998B1 (en) 2004-07-23 2015-04-15 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
US7636841B2 (en) 2004-07-26 2009-12-22 Intercall, Inc. Systems and methods for secure data exchange in a distributed collaborative application
JP4407452B2 (ja) * 2004-09-29 2010-02-03 株式会社日立製作所 サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US8706877B2 (en) 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
US8549149B2 (en) * 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
US8954595B2 (en) 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US7810089B2 (en) * 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US20060253605A1 (en) * 2004-12-30 2006-11-09 Prabakar Sundarrajan Systems and methods for providing integrated client-side acceleration techniques to access remote applications
US8700695B2 (en) 2004-12-30 2014-04-15 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP pooling
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
US7849269B2 (en) 2005-01-24 2010-12-07 Citrix Systems, Inc. System and method for performing entity tag and cache control of a dynamically generated object not identified as cacheable in a network
CN100414929C (zh) * 2005-03-15 2008-08-27 华为技术有限公司 一种移动互联网协议网络中的报文传送方法
EP1708426A1 (en) * 2005-04-01 2006-10-04 BRITISH TELECOMMUNICATIONS public limited company Resource reservation in network routing
US8189481B2 (en) * 2005-04-08 2012-05-29 Avaya, Inc QoS-based routing for CE-based VPN
BRPI0610322B8 (pt) 2005-05-20 2021-05-25 Methylgene Inc inibidores de sinalização de receptor de vegf e de receptor de hgf e composição farmacêutica
US7894369B2 (en) * 2005-08-19 2011-02-22 Opnet Technologies, Inc. Network physical connection inference for IP tunnels
US8165038B2 (en) * 2005-08-19 2012-04-24 Opnet Technologies, Inc. Network physical connection inference for IP tunnels
US7921184B2 (en) 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
US8301839B2 (en) 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US8375421B1 (en) * 2006-03-02 2013-02-12 F5 Networks, Inc. Enabling a virtual meeting room through a firewall on a network
WO2008064719A1 (en) * 2006-11-30 2008-06-05 Telefonaktiebolaget Lm Ericsson (Publ) Packet handling in a mobile ip architecture
US8103783B2 (en) 2007-03-12 2012-01-24 Citrix Systems, Inc. Systems and methods of providing security and reliability to proxy caches
US7720936B2 (en) * 2007-03-12 2010-05-18 Citrix Systems, Inc. Systems and methods of freshening and prefreshening a DNS cache
US7809818B2 (en) * 2007-03-12 2010-10-05 Citrix Systems, Inc. Systems and method of using HTTP head command for prefetching
US8037126B2 (en) * 2007-03-12 2011-10-11 Citrix Systems, Inc. Systems and methods of dynamically checking freshness of cached objects based on link status
US7584294B2 (en) * 2007-03-12 2009-09-01 Citrix Systems, Inc. Systems and methods for prefetching objects for caching using QOS
US7783757B2 (en) * 2007-03-12 2010-08-24 Citrix Systems, Inc. Systems and methods of revalidating cached objects in parallel with request for object
US8074028B2 (en) 2007-03-12 2011-12-06 Citrix Systems, Inc. Systems and methods of providing a multi-tier cache
US8701010B2 (en) 2007-03-12 2014-04-15 Citrix Systems, Inc. Systems and methods of using the refresh button to determine freshness policy
US8504775B2 (en) 2007-03-12 2013-08-06 Citrix Systems, Inc Systems and methods of prefreshening cached objects based on user's current web page
US8752131B2 (en) * 2008-04-30 2014-06-10 Fujitsu Limited Facilitating protection of a maintenance entity group
WO2010042580A1 (en) * 2008-10-08 2010-04-15 Citrix Systems, Inc. Systems and methods for allocating bandwidth by an intermediary for flow control
CN102714651B (zh) * 2009-07-01 2015-11-25 太阳涡轮股份有限公司 第一计算机网络与至少一个第二扩展计算机网络连接方法
US9021251B2 (en) * 2009-11-02 2015-04-28 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for providing a virtual private gateway between user devices and various networks
KR101585936B1 (ko) * 2011-11-22 2016-01-18 한국전자통신연구원 가상 사설 망 관리 시스템 및 그 방법
US9417922B2 (en) 2012-12-03 2016-08-16 Cutting Edge Consulting Associates, Inc. Systems and methods for protecting an identity in network communications
US9124652B1 (en) * 2013-03-15 2015-09-01 Google Inc. Per service egress link selection
CN104283701A (zh) * 2013-07-03 2015-01-14 中兴通讯股份有限公司 配置信息的下发方法、系统及装置
US9148408B1 (en) 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
US9906497B2 (en) 2014-10-06 2018-02-27 Cryptzone North America, Inc. Multi-tunneling virtual network adapter
CN106797346B (zh) * 2014-11-06 2020-09-01 柏思科技有限公司 用于在vpn管理服务器处建立vpn连接的方法和系统
US9866519B2 (en) 2015-10-16 2018-01-09 Cryptzone North America, Inc. Name resolving in segmented networks
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
US10516650B2 (en) 2017-09-13 2019-12-24 Netabstraction, Inc. Dynamic, user-configurable virtual private network

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5416842A (en) * 1994-06-10 1995-05-16 Sun Microsystems, Inc. Method and apparatus for key-management scheme for use with internet protocols at site firewalls
JPH10178421A (ja) * 1996-10-18 1998-06-30 Toshiba Corp パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法
US6101543A (en) * 1996-10-25 2000-08-08 Digital Equipment Corporation Pseudo network adapter for frame capture, encapsulation and encryption
US6226748B1 (en) 1997-06-12 2001-05-01 Vpnet Technologies, Inc. Architecture for virtual private networks
JP2000295274A (ja) * 1999-04-05 2000-10-20 Nec Corp パケット交換装置
AU2001257306A1 (en) 2000-04-27 2001-11-07 Fortress Technologies, Inc. A method and apparatus for integrating tunneling protocols with standard routingprotocols
US20020007453A1 (en) 2000-05-23 2002-01-17 Nemovicher C. Kerry Secured electronic mail system and method
US7995603B2 (en) * 2001-05-22 2011-08-09 Nds Limited Secure digital content delivery system and method over a broadcast network
US7042842B2 (en) * 2001-06-13 2006-05-09 Computer Network Technology Corporation Fiber channel switch
US20030172264A1 (en) 2002-01-28 2003-09-11 Hughes Electronics Method and system for providing security in performance enhanced network
US7624431B2 (en) * 2003-12-04 2009-11-24 Cisco Technology, Inc. 802.1X authentication technique for shared media

Also Published As

Publication number Publication date
CN101048978A (zh) 2007-10-03
US7647492B2 (en) 2010-01-12
US20060059370A1 (en) 2006-03-16
WO2006030266A1 (en) 2006-03-23
KR20070053345A (ko) 2007-05-23
TW200625875A (en) 2006-07-16
EP1794937A1 (en) 2007-06-13

Similar Documents

Publication Publication Date Title
TWI312626B (en) Method and apparatus for integrating encapsulation and encryption with packet routing
US8713305B2 (en) Packet transmission method, apparatus, and network system
CA2870048C (en) Multi-tunnel virtual private network
US20170272410A1 (en) Method and system for sending a message through a secure connection
US7877506B2 (en) System, method and program for encryption during routing
US20060182103A1 (en) System and method for routing network messages
US20040044908A1 (en) System and method for transmitting and receiving secure data in a virtual private group
US20110113236A1 (en) Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism
JP2007520797A (ja) 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法
TW201201554A (en) Network topology concealment using address permutation
CN112491821B (zh) 一种IPSec报文转发的方法及装置
CN107306198B (zh) 报文转发方法、设备和系统
US11088992B2 (en) Context specific keys
KR20140122335A (ko) 가상사설망 구성 방법, 패킷 포워딩 방법 및 이를 이용하는 게이트웨이 장치
CA2680599A1 (en) A method and system for automatically configuring an ipsec-based virtual private network
JP4933286B2 (ja) 暗号化パケット通信システム
JP2023042903A (ja) 通信装置、通信方法および通信システム
CN109361684B (zh) 一种vxlan隧道的动态加密方法和系统
JP6075871B2 (ja) ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
US11882029B2 (en) Securing multiprotocol label switching (MPLS) payloads
Alhoaimel Performance Evaluation of IPv6 and the Role of IPsec in Encrypting Data
CN116346769A (zh) 一种业务交互方法、装置、业务系统、电子设备及介质
Shirke HIPAA protected delivery across Internet
JP2002077150A (ja) 暗号通信時の暗号化パケットの作成方法
JP2008098782A (ja) プロトコル処理システム及びプロトコル処理方法

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees