Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4482601B2 - ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 - Google Patents
[go: Go Back, main page]

JP4482601B2 - ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 - Google Patents

ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 Download PDF

Info

Publication number
JP4482601B2
JP4482601B2 JP2008505873A JP2008505873A JP4482601B2 JP 4482601 B2 JP4482601 B2 JP 4482601B2 JP 2008505873 A JP2008505873 A JP 2008505873A JP 2008505873 A JP2008505873 A JP 2008505873A JP 4482601 B2 JP4482601 B2 JP 4482601B2
Authority
JP
Japan
Prior art keywords
port
packet
connection
port number
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2008505873A
Other languages
English (en)
Other versions
JP2008536418A5 (ja
JP2008536418A (ja
Inventor
ジャクビック、パトリシア
オーバービー、リンウッド、ヒュー、ジュニア
ポーター、ジョイス、アン
ウィアボウスキー、デイビッド、ジョン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2008536418A publication Critical patent/JP2008536418A/ja
Publication of JP2008536418A5 publication Critical patent/JP2008536418A5/ja
Application granted granted Critical
Publication of JP4482601B2 publication Critical patent/JP4482601B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5046Resolving address allocation conflicts; Testing of addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2517Translation of Internet protocol [IP] addresses using port numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/663Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、一般的には、インターネット・ネットワーキングに関し、特定的には、ネットワーク・アドレスおよびポート変換によって生じる衝突に対する対応に関する。
本明細書において、インターネットとインターネット通信の基礎を形成するTCP/IPプロトコルとの観点から、問題と解決策とを説明する。しかしながら、本発明は、プロトコルの詳細によっては、他の通信プロトコルにも同様に提供可能である。
インターネット・ネットワーク・アドレス変換を使用する理由はいくつかある。主な理由は、公開アドレスの使用を節約することである。ネットワーク・アドレス変換器(NAT)のインターネット・プロトコル(IP)アドレスは、一般的には公開アドレスである。すなわち、NAT IPアドレスは、外部世界に知られているが、NATの背後にあるサーバまたはクライアントのすべては、プライベート・アドレスであり、外部世界には知られていない。そのような場合、外部世界は、NATと通信を行い、NATは、その背後にある適切なサーバおよびクライアントとの通信を制御する。これは、NATの背後にある装置のIPアドレスは当該ファミリー内で固有であればよいが、世界のその他におけるIPアドレスは重複している可能性がある。NATは、IPアドレスの変換のみに関与する。さらに、ネットワーク・アドレス・ポート変換(NAPT)として知られる種類の変換があり、ここでは、IPアドレスおよびポート番号の両方が変換される。ネットワーク・アドレス変換(NAT)およびネットワーク・アドレス・ポート変換(NAPT)のための規格は、インターネット技術標準化委員会(IETF)の、「Traditional IP Network Address Translation」という名称のRFC3022に記載されている。
元来のインターネットは、セキュリティを主要な要素として設計されていない。実際、インターネットは、科学的および教育的通信に対する支援として、意図的に比較的オープンに作られた。しかしながら、ウェブの出現とその商用によって、安全なインターネット通信に対する必要性が増している。一般的にはIPsecとして知られるインターネット・セキュリティ・プロトコルは、これらの問題に対処するために定義されていた。例えば、IPsecは、ネットワーク装置の認証または送信データの暗号化もしくはその両方を提供する。ソース・アドレスと宛先アドレスとの間のIPsec通信は、セキュリティ・アソシエーション(SA)に従って管理される。SAは、通信に適用されるIPsec処理を定義する1つ以上の規則である。IPsecは、RFC2401および他のRFCに定義されている。パケットが拒否されるか、IPsec処理なしで許可されるか、またはIPsec処理ありで許可されるかどうかは、必要に応じて動的にセキュリティ・ポリシー・データベース(SPD)内のセキュリティ規則を有するパケットの属性を照合することによって判断される。この判断を行うために、既知の技術は、送信および受信パケットの両方に関する最も特定性の高い属性から最も特定性の低い属性の順で、静的および動的規則を検索する。静的規則のセットが、実質的にはセキュリティ規則である。静的規則は、予め定義付けられており、一般的にはあまり頻繁に変化しない。動的規則は、IKE(インターネット鍵交換)処理中に必要に応じてノード間で交渉され、セキュリティ・ポリシー・データベースに追加される規則である。IBM社の米国特許第6347376号は、SPDの動的規則を検索する好ましい一方法を記載する。
ネットワーク・アドレスまたはポート変換とIPsec処理との間には、固有の不適合性が存在する。このような不適合性が、IPsecの配置には障壁となる。RFC3715は、このような不適合性のいくつかを認識し説明しているが、一般的な解決策は提供していない。例えば、RFC3715の第4.1節は、RFC3456「Dynamic Host Configuration Protocol(DHCPv4,Configuration of IPsec Tunnel Mode)」に提案された限定的な解決策を示しているが、より一般的な解決策が必要とされていることを述べている。加えて、IETFのIPsecワーキング・グループからの「UDP Encapsulation of IPsec パケット」という名称のRFC3948の第5節も、不適合性のいくつかの問題に対処している。特に、RFC3948の第5.2節は、NAPTによって扱われるクライアントへの接続上でどんなIPsecセキュリティ・アソシエーションを使用するかを判断する問題について簡単に説明している。また、この節は、NAPTがIPsecトラフィックも扱う場合にNAPTの背後のクライアントへのクリア・テキスト接続を可能にする他の問題について述べている。
よって、クライアントがNAPTで扱われる場合には、重複ソースを回避するという問題に対処する必要性がある。この問題に対しては、どの関連のIETF RFCも解決策を提供していない。本明細書の目的のために、重複ソースは、同一のソース・アドレス(例えば、IPsecカプセル化された元のパケットに割り当てられたNAPTのIPアドレス)、同一のトランスポート・プロトコル、および同一の元ソース・ポート番号(すなわち、IPsecカプセル化されたパケットのトランスポート・ヘッダにおけるポート番号)を有するパケットとして定義される。
重複ソースは、ネットワークの整合性を破る重複接続という結果をもたらす。例えば、パケットが誤った宛先に送られる可能性がある。
「Negotiation of NAT‐Traversal in the IKE」という名称のRFC3947は、NATトラバーサル・サポートためのIKE(インターネット鍵交換)のフェーズ1およびフェーズ2において必要とされるものを記述している。これには、パケット通信における両端がNATトラバーサルをサポートしているかどうかを検出することと、ホストからホストへのパスに沿って1つ以上のNATがあるかどうかを検出することを含まれる。また、IKEクイック・モードにおけるユーザ・データグラム・プロトコル(UDP)のカプセル化されたIPsecパケットの使用を交渉するやり方も含まれており、元ソースIPアドレスを他端に必要に応じて送信するやり方を記載している。UDPは、RFC768に定義されている。RFC3948である「UDP Encapsulation of IPsec Packets」は、NATをトラバースするために、UDPパケット内部のESP(カプセル化セキュリティ・ペイロード)パケットをカプセル化およびカプセル開放するための方法を定義している。ESPは、RFC2406に定義されている。ESPは、IPv4およびIPv6における混合セキュリティ・サービスを提供するように設計されている。
本発明は、NAPTによって扱われるソース・アプリケーションを識別するためのソース・アドレス、プロトコル、およびソース・ポート番号を使用する接続におけるパケットの複製ソースを防止することに向けられている。パケットがサーバで受信されると、当該パケットが、ネットワーク・アドレス・ポート変換器(NAPT)を含む送信路のESPパケットをカプセル化するUDPパケットかどうかについて判断する。この判断が合致すると、元パケットはカプセル開放されて、元のソース・ポート番号と、元のトランスポート・プロトコルとを取得する。接続を管理するセキュリティ・アソシエーションに適合するポート番号の範囲内でポート番号が利用可能どうかについて判断する。利用可能なポート番号が見つかると、当該接続に割り当てることによって、重複ソースの可能性を回避する。利用可能なポート番号が接続を管理するポート番号の範囲内になければ、当該パケットは拒絶される。
本発明の好ましい一実施形態を、以下の図面を参照して一例として説明する。
しかしながら、本発明は、数多くの異なる形式で実施されてもよく、本明細書に記載された実施形態に限定されるものとして解釈すべきではない。むしろ、これらの実施形態は、本開示が徹底的かつ完全となり、本発明の範囲を当業者に対して完全に伝えるものとなるように提供される。対処される問題は、インターネット送信におけるトランスポート・モードおよびトンネル・モードの両方について存在するが、開示された実施形態は、主にトランスポート・モードに向けられている。説明する軽微な変形によって、トランスポート・モードに関する開示をトンネル・モードにおける動作のために適合させる。
本発明の実施形態は、ソフトウェア、ハードウェア、またはハードウェアおよびソフトウェアにおいて実施することができる。当業者によって理解されるように、本発明の実施形態は、完全にハードウェア実施形態、完全にソフトウェア(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)実施形態、またはソフトウェアおよびハードウェア局面を含む実施形態という形態を取ることができる。さらに、本発明の実施形態は、コンピュータまたは任意の命令実行システムによってまたはそれに関連して使用される媒体で実施されるプログラム・コード手段を有する、コンピュータ使用可能またはコンピュータ読み取り可能な記憶媒体上のコンピュータ・プログラム製品の形態を取ることができる。本明細書の場合、コンピュータ使用可能またはコンピュータ読み取り可能な媒体は、命令実行システム、装置、または機器によってまたはそれに関連して使用される、プログラムを包含、記憶、通信、伝播、または搬送することができる任意の手段でありうる。しかしながら、媒体は、例えば、電子的、磁気的、光学的、電磁的、赤外線、または半導体のシステム、装置、機器、または伝播媒体に限定されない。コンピュータ読み取り可能な媒体のより特定的な例(網羅したリストではない)には、1つ以上の線を有する電気接続、着脱可能なコンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM)、読み出し専用メモリ(ROM)、消去可能プログラム可能読み出し専用メモリ(EPROMまたはフラッシュ・メモリ)、光ファイバ、携帯型コンパクト・ディスク読み出し専用メモリ(CD‐ROM)が含まれるだろう。注意すべきは、コンピュータ使用可能またはコンピュータ読み取り可能な媒体は、プログラムを印刷可能な用紙または他の適した媒体であってさえよく、なぜならば、プログラムを例えば用紙または他の媒体の光走査を介して電子的に取り込んでから、コンパイル、解釈、または、そうでない場合には必要があれば適切なやり方での処理の後、コンピュータ・メモリに記憶することができるからである。
本説明において、同様の番号は、全体に渡って同様の構成要素を示す。
IPsec処理を使用して、パケットの内容をセキュリティ目的のために認証または暗号化することができる。認証および暗号化は、共にパケットに適用できるか、または、別個に適用できる。この説明を簡略化すると、IPsec処理の説明は、暗号化および復号化の観点でのパケットのカプセル化およびカプセル開放について述べている。説明の処理は、認証が単独に適用されていても、暗号化と共に適用されていても、等しく有効である。
IPsec処理がソース・クライアントからの送信パケットに適用されると、当該処理は、元ソースおよび宛先ポートならびにプロトコル・フィールドを暗号化し、この暗号化されたものをUDPパケットにカプセル化する。元クライアント・ソースIPアドレスがUDPパケットに保持されるが、ソース・ポート番号は、RFC3948「UDP Encapsulation of IPsec ESP Packets」に規定されているような4500に設定される。UDPパケットはその後NAPTへ送られ、NAPTは、さらなる変換を行う。これらの変換は、図1および図2に対して以下に詳細に説明する。特に、NAPTは、その自身のIPアドレスをクライアント・ソースIPアドレスの代わりに使用し、UDPヘッダに対する新規の固有のポート番号を割り当て、戻りパケットが元ソースに対してマッピングされるようにこれらの変換を追跡する。RFC3948が説明する手法では、TCPまたはUDPパケット内の元ソース・ポート番号は、NAPT装置によって変更されない。なぜならば、これは、IPsec ESPペイロードの一部として暗号化されている元トランスポート・ヘッダの一部だからである。その代わりに、上述のように、UDPカプセル化のために追加されたUDPヘッダ内のポート番号が変更される。そのようなIPsecパケットがサーバによって受信されて暗号化されると、元ソースおよびパケットの宛先ポートを明らかにする。IPsecを通じて処理されなかったパケットについては、NAPT装置は、元ソースIPアドレスおよびソース・ポートを変換する。暗号化されないパケットについては、NAPTは、重複接続(重複ソース)がないことを保証する。
図1は、クライアントからサーバへ送られるようにネットワーク・パスに沿ったIPsecパケットの変換を示す。図2は、サーバからクライアントへの逆方向の戻りパケットの変換を示す。図1を参照して、IPアドレス10.1.1.1のクライアントは、IPアドレス11.1.1.1のサーバ宛の暗号化されたパケットを送出する。IPsecによる処理以前のパケットの元の内容を100に示す。100の左欄はパケットのフィールド型を記述し、右欄はフィールド内容を示す。100の宛先IPアドレスは、211.1.1.1であり、実際の宛先サーバ11.1.1.1の前のNATの公開アドレスである。NAT211.1.1.1の役割は、パケットを11.1.1.1のようなバックエンド・サーバにマッピングすることである。100において、ソースおよび宛先ポートは、例示的にそれぞれ4096および21に設定されている。IPsec処理後のパケットの内容を102に示す。パケット102の底部にある薄く網掛けされた部分は、IPsecによって暗号化された部分を示す。102の濃く網掛けされた部分(および送信路の他の点におけるパケット内容)は、送信の当該点において変化または追加されたフィールドである。102において、実際のソースおよび宛先ポートは、IPsecによる4096および21という暗号化された値であり、この時点では読み出し可能ではない。IPsec処理は、UDPヘッダを追加して、これが元クライアント・パケットのポートおよびプロトコルをカプセル化するIPsecパケットである旨を示す。IPsecによって追加されたクリア・テキストUDPヘッダ内のソースおよび宛先ポートは、RFC3948によって必要に応じて4500に設定されている。SPI(セキュリティ・パラメータ・インデックス)フィールドは、例示的に256に設定されている。SPIフィールドは、セキュリティ・プロトコル(ESPまたはAH)および宛先アドレスと共に、暗号化アルゴリズムおよびこれらのエンティティ間のセキュリティ・パラメータを司るクライアント10.1.1.1とサーバ11.1.1.1との間のセキュリティ・アソシエーションをポイントする。
102のパケットは、IPアドレス210.1.1.1におけるNAPTによって変換されて、104に示すパケットとなる。この時点で、NAPT210.1.1.1は、ソースIPアドレスを変更して、210.1.1.1という自身のアドレスを反映させている。また、NAPTは、新規の固有のソース・ポート番号を設定する。図1において、選択されたソース・ポート番号4500から4501へ例示的に変更される。NAPT210.1.1.1は、サーバ11.1.1.1からの戻りパケットと、クライアントIP10.1.1.1およびソース・ポート4500からの今後の送信パケットとについて、この変換を追跡する。
104のパケットは、NAT211.1.1.1によって、サーバ11.1.1.1に対する入力パケットへ再変換する。この入力パケットを106に示す。実質的には、パケットの宛先IPアドレスが、NAT211.1.1.1によって、宛先サーバの実際の宛先アドレス11.1.1.1にマッピングされる。パケットのIPsec処理は、ソース10.1.1.1.におけるIPsec処理によって追加されたUDPヘッダを除去して、実際のソースおよび宛先ポート番号を復旧させる。その後、108に示すような復旧されたパケットは、宛先ポート(本例では21)へ送られて、アプリケーション処理に供される。
完全性のために、図2は、サーバ211.1.1.1から元クライアント10.1.1.1への戻りパケット・フローを示す。このパケット・フローの詳細を説明する必要がないのは、対処される重複ソースの問題は、戻りパケットには生じないからである。
図1を再び参照すると、108のパケットは、ソース・アドレスとして、NAPT210.1.1.1のアドレスと、ソース・ポート・アドレス4096を含む。しかしながら、NAPT2101.1.1の背後にある例えば、10.1.1.2という他のクライアントが、ソース・ポート4096からホスト11.1.1.1へパケットを送っている可能性も高い。したがって、クライアント10.1.1.1およびホスト11.1.1.1間のパスにおけるNAPTがあるゆえに、衝突を生じさせる不正な重複ソースの可能性がある。
宛先ホストにおけるソース・ポート変換テーブル(SPTT、図3)を使用して、ソース間の関連(図3におけるソース・ポート・エントリと称される)を定義する。これには、NAPTと、宛先ホストによってそのような接続に割り当てられた変換されたポート番号(変換されたソース・ポート・エントリと称する)とを含む。変換されたソース・ポートが、所定のセキュリティ・アソシエーションに関連付けられる受信パケットに対する割り当てに利用可能な(まだ割り当てられていない)ポートのプールから選択される。各交渉されたセキュリティ・アソシエーションは、変換ポートの自身のプールを有することになる。所定の接続について、各変換ポートのプールは、当然ながら、元のクライアント・ポート番号によって部分的に定義さされるように、元接続が必要とするSPDにおける同一または同等のセキュリティ規則に従う。利用可能な変換ポートを受信パケットに割り当てることによって、本発明によって拒絶される「重複」パケットの数は減少するはずであり、恐らく劇的に減少するはずである。
SPTTの一例を、図3の300に示す。このテーブルは、受信パケットが宛先ホストに到着するときに必要に応じて動的に構築される。SPTTのソース・ポート・エントリは、4つのフィールドを有する。1)接続のパスにおけるNAPTのソースIPアドレス(例えば、エントリ302は、NAPT IP アドレス210.1.1.1を含む)、2)NAPTよって割り当てられたUDPソース・ポート(例えば、エントリ302の4501)、3)NAPTによって扱われる発信クライアントによって選択された元のソース・ポート番号(例えば、エントリ302における4096)、4)元のクライアント・パケットのプロトコル(例えば、エントリ302におけるTCP)。SPTTの各ソース・ポート・エントリは、変換されたソース・ポート・エントリをポイントする。例えば、ソース・ポート・エントリ302は、図3の変換されたソース・ポート・エントリ308をポイントする。各変換されたソース・ポート・エントリは、3つのフィールドを含む。1)接続のパスにおけるNAPTのソースIPアドレス(例えば、エントリ308は、NAPT IPアドレス210.1.1.1を含む)。2)NAPTによって扱われる発信クライアントの変換されたソース・ポート番号(例えば、エントリ302における4096)。3)元のクライアント・パケットによって選択されたプロトコル(例えば、エントリ308におけるTCP).ソース・ポート・エントリを使用して、宛先ホストへ入るパケットについての変換されたソース・ポート・エントリを見つけ、変換されたソース・ポート・エントリを使用して、ホストから出るパケットについてのソース・ポート・エントリを見つける。
図13に示す利用可能なソース・ポート・プール(ASPP)は、変換割り当てのために利用可能なポート数と、既に割り当てられたポート数とを追跡する。サーバにおいて新規の遠隔クライアントからパケットがまず受信されると、ASPP内の情報が動的に生成される。ASPP1300は、ポート・ベクトルをポイントする遠隔クライアント・エントリを含む。各遠隔クライアント・エントリは、受信パケットから取られたNAPTのIPアドレスと、パケットのUDPまたはTCPという元のクライアント・プロトコルという2つのフィールドを含む。元のクライアント・プロトコルは、パケットが到着すると暗号化されて、宛先ホストにおけるIPsec処理後にクリアで利用可能である。これらの各遠隔クライアント・エントリは、互いに異なるポート・ベクトルをポイントし、その各ビットは、ベクトル内のビットの位置によって定義されるポート番号の利用可能または利用不可能な状態を記述している。図13を参照して、NAPTをトラバースするIPsecセキュリティ・アソシエーションをIKEが交渉する場合には、TCP/IPスタックは交渉されたセキュリティ・アソシエーションの下で受領可能なポート番号の範囲を作成する。この範囲のポート番号は、重複ソースの可能性を回避するために、受信パケットに対して任意に割り当てることができる。これがどのように行われるかは、図8から図12までの説明で明らかになるだろう。わかるように、対応遠隔クライアント・エントリについてのセキュリティ・アソシエーションに従って割り当てることができるポートの範囲のみが、任意のベクトル内にアドレス指定される。
図4から図7は、上述の説明を例示する助けとなる。図4は、ソースNAPTから来るパケットを示す。例示のため、クライアント・アドレスおよびポートは、10.1.1.1および4096であると仮定する。400は、NAPTによって更新されたIPヘッダである。これは、NAPTアドレス210.1.1.1と、ホスト宛先アドレス11.1.1.1とを含む。402は、IPsec処理によって追加されてNAPTによって更新されたカプセル化UDPヘッダである。ソース・ポート4500は、NAPTによって4501へ変更されている。404は、IPsec処理によって追加されたカプセル化されたセキュリティ制御(ESP)ヘッダを含む。TCPトランスポート・ヘッダ406は、元クライアント・ソースと、宛先ポートとを含み、それぞれ4096および21である。408は、ESPトレーラが続くペイロード・データを含む。トランスポート・ヘッダ406およびペイロード408は、IPsec処理に従って暗号化される。図5は、宛先における復号化後の図4のパケットを表す。注意すべきなのは、(500からの)ソースNAPTアドレス210.1.1.1と、クライアント・ソース・ポート4096と、プロトコル(TCP)とが506から利用可能である。受信パケットについては、これらの属性を使用して、SPTT300のソース・ポート・エントリ(例えば、302、304)を検索して、対応する変換されたソース・ポート・エントリがもしあればそれを見つける。送信パケットについては、変換ソース・ポート・エントリ(例えば、308、310)を検索して、対応するソース・ポート・エントリを見つける。
図6および図7は、2番目に到着する「重複」ソース・パケットを表す。このパケットは、パケットを司るセキュリティ・アソシエーションに従って利用可能なポート番号の範囲からパケットに割り当てるための利用可能なポート番号があることを仮定して、本発明の実施形態によって受け付けられることになる。
適切なフローチャートに関連して、この処理をより詳細に以下に説明する。
図8は、IKE交渉中のセキュリティ・アソシエーションの初期化を示す。IKE交渉は、ステップ802で表されている。交渉中に、ステップ804は、交渉されたセキュリティ・アソシエーションをインストールするためのTCP/IPスタックへの通知を送信する。セキュリティ・アソシエーションがいったん既知となると、SPDを検索して、接続に割り当てるために利用可能な範囲があれば、ポート番号の範囲を判断する。ステップ806は、これらのポート番号を判断して、スタックに記憶されたセキュリティ・アソシエーションに追加する。
図9は、データ・パケットが宛先ホストに到着する場合の重複ソースを回避する処理を開始する。図9は、データ・パケットが宛先ホストに到着する場合の重複ソースを検出する処理を開始する。ステップ902は、受信パケットがUDPヘッダ内にカプセル化されたESPパケットを含み、かつUDPヘッダ内のソース・ポートが予め規定されたUDPカプセル化ポート4500ではないかどうかを判断する。上記が真であれば、パケットは、暗号化または認証のいずれかのためにIPsecを使用しており、NAPTは送信路に含まれる。パケットが4500の宛先ポートを伴うUDPプロトコルを使用しており、最初の4バイトが非ゼロ・データを含む場合には、パケットは、UDPカプセル化されたESPパケットとして識別される。これらの質問に対する答えがいいえの場合は、904におけるオプション1と906におけるオプション2という2つの代替処理オプションがある。これらを共に以下で説明する。両質問に対する答えがはいの場合、ステップ908はず10のAに続く。図10において、ステップ1001は、受信パケットからUDPヘッダを除去する。ステップ1002は、パケットを復号化するために必要なIPsec処理を行う。その結果、302における4096のような元クライアント・ソース・ポート番号と、302におけるTCPのような元のクライアント・プロトコルが取得される。それぞれ302における、210.1.1.1および4501といったNAPTソースIPアドレスおよびNAPT割り当てポート番号は、UDPヘッダからわかる。ステップ1004は、これらの属性に対して、SPTT300のソース・ポート・エントリを検索する。合致するソース・ポート・エントリがステップ1006で見つかる場合、変換されたポート番号は既にこのセッションに割り当てられているという意味である。ステップ1008は、既に割り当てられたポート番号を探し当てる。この例において、合致するソース・ポート・エントリは302である。対応する変換ソース・ポート・エントリは、308である。エントリ308は、割り当てられたソース・ポート番号4096を含み、これは、たまたま元のクライアント・ソース・ポート番号と同一である。これは、エントリ308が作成されたとき、元のクライアント・ソース・ポート番号が割り当てのために利用可能であり、したがって割り当てられたポートとして使用されたことを意味する。このことは、以下でより詳細に述べる。ステップ1010は、パケット・トランスポート・ヘッダ内のソース・ポート番号を308からの変換されたソース・ポートで置換し、1012において従来のパケット処理を継続する。ステップ1008において、一致する変換されたソース・ポート・エントリが310であった場合には、SPTT300の例示内容に従って、変換されたポート番号は38096であっただろう。この例で説明を続けると、SPTT300におけるソース・ポート・エントリがステップ1006で見つからない場合には、処理は、必要に応じてASPP1300の単数および複数のエントリを作成することを開始する。はじめに、ステップ1016は、ASPP遠隔クライアント・エントリが既に存在するかどうかを判断する。もし存在しなければ、ステップ1020は、この例において、ソース・NAPT IPアドレス210.1.1.1と、復号化されたパケットからのプロトコルTCPとを使用してエントリを作成する。ステップ1022は、対応のビット・ベクトルを作成する。はじめに、ベクトルのすべてのビットが利用可能な状態に設定される。図11のEにおいて、ステップ1102は、次に、パケット内のクライアント・ソース・ポート番号がソース・ポート・ビット・ベクトルにおいて利用可能であるとマーク付けされているかどうか判断する。もしそうであれば、1104において、パケット内のソース・ポート番号が割り当てられる。これは、本例の302および308に対応し、元のソース・ポート番号と割り当てられたポート番号が一致している。元のクライアント・ソース・ポート番号がベクトルで利用不可能であるとマーク付けされている場合には、ステップ1110は、セキュリティ・アソシエーションにしたがって割り当てることができるポートの範囲を判断する。ポート・ビット・ベクトルのこの範囲内において、ステップ1112は、利用可能な次のポートがもしあればそれを判断する。割り当てのために利用可能なポート番号がなければ、1114においてパケットは拒絶される。なぜならば、分解することができない重複ソースを表しているからである。ポートがベクトル内の許容範囲内で利用可能であれば、ステップ1113において、308および310のような変換されたソース・ポート・エントリを、ベクトルからの選択された利用可能なポートを使用してSPTT内300に作成する。ステップ1106は、選択されたポートをマーク付けする。ステップ1108は、304などのソース・ポート・エントリをSPTT300に作成して、それをステップ1113において作成された変換されたソース・ポート・エントリと関連付ける。処理は図10のFに続き、ステップ1010において、パケット・ポート番号が、割り当てられたポート番号に置換され、通常のパケット処理がステップ1012において継続する。
図9からのオプション1を使用する場合には、上述のステップ1110における変形が必要である。受信パケットがIPsecパケットではないとステップ910が判断する場合には、このパケットに関連したSAはない。したがって、ステップ1110は、好ましい実施形態におけるようなSAからというよりも直接SPDから、割り当てのために利用可能なポートの範囲を含むポート・ビット・ベクトルを取得しなければならない。
図9のオプション1およびオプション2は、パケットがクリア内に送られる(IPsec処理がない)か、パス内にアドレス変換(NAPT)がないかのいずれかの状況を表す。NAPTをトラバースするなんらかのセキュリティ・アソシエーションがこのホスト内で終了している限り、この状況では重複ソースの可能性がまだある。代替オプション1および2は両方とも、このような条件でのそのような重複パケットを回避する。オプション1は、重複ソース回避のための上述と同一の原則を適用するが、パケットによる必要に応じてIPsec処理を適用したり回避したりすることによって行う。オプション2は、SPDのフィルタリング規則を使用して、重複ソースを回避する。オプション1(904)が選択されると、ステップ910は、パケットがIPsec処理を必要とするかを判断する。もし必要とすれば、処理は912へ続き、図10のBのステップ1002は、必要に応じてIPsec処理を行って、処理は1004へ続く。ステップ910においてパケットがIPsecパケットでない場合には、ステップ914は、図10のDへと続き、BのIPsec処理を単にスキップする。この場合、図10のステップ1004は、ゼロ(0)のUDPソース・ポートを使用する。なぜならば、パケット内にはカプセル化UDPヘッダがないからである。
オプション2は、受信IPsecパケット・フィルタリングを使用して、重複ソースをできる限り回避する。IPsecがいったん設定されると、すべてのパケットは、パケットが暗号化されているかどうかに関わらず、IPsec規則テーブルSPDを介して処理される。これは、所定の接続上のクリア・パケットがIPsec規則によって実際に許可されたことを検証するためのものである。オプション2の処理は、図12のCで開始する。ステップ1202において、受信パケットは、IPsec規則テーブル(図示せず)を介して処理される。好ましい一実施形態においてこれがどのように行われるかについては、上記の米国特許第6347376号から判断できる。この特許を、その全体を参照により援用するものとする。パケットが暗号化されると(ステップ1204)、ステップ1206は、IPsec規則が暗号化を要求しているかどうかを判断する。要求していると仮定すると、パケットは1206において許可される。そうでない場合には、1210において拒絶される。ステップ1204においてパケットがクリアである場合には、1212において、一致するIPsec規則は暗号化されていないパケットを許可するかどうかについての判断がなされ、それに従ってパケットが許可または拒絶される。
トンネル・モードにおいて、IPsec SAは、必ずしもエンド・ツー・エンドではない。例えば、SAは、ホストと、複数のクライアントおよびサーバを扱うゲートウェイとの間を交渉してもよい。トンネル・モードにおいて、単一のNAPTアドレス(UDPカプセル化ヘッダにおけるソースIPアドレス)は、複数のホストを表す場合がある。トンネル・モードにおいて、パケットのカプセル化されかつ暗号化された部分は、ソースの元のIPアドレスとTCPトランスポート・ヘッダとの両方を含む。本明細書の目的のために、トンネル・モードにおけるソースの元のIPアドレスを、内部ソースIPアドレスと称する。内部ソースIPアドレスは、全体的に固有ではないので、パケット・ルーティングまたは接続のソースを表すためには使用できない。SPTT300のソース・ポート・エントリ内に含まれるような元のソース・ポートと、トランスポート・モードについて上述したようなUDPポートだけを伴うカプセル化ソースIPアドレスとは、固有でない場合もあろう。これに対処するために、内部ソースIPアドレスを含む追加のフィールドが、図3のSPTT300のソース・ポート・エントリ(例えば、302および304)に追加される。(トランスポート・モードにおいては利用可能ではない)内部ソースIPアドレスは、ソース・ポート・エントリの他の値と組み合わせると、トンネル・モードのIPsec SAによって保護されたホストについての固有の識別子を生じさせる。
開示された好ましい実施形態が本教示の意図および範囲内の数多くの軽微の変形を有しうることを、当業者は理解するだろう。発明者の意図は、本発明の分野における適用可能な関連技術の状況に従って可能な程度の変形を含むということである。
クライアントからNAPTおよびNATを介して宛先ホストへのパケットの進行と、パケットの進行に伴うパケット・ヘッダおよび内容に対する変更とを示す。 図1のパケットに応答する戻りパケットを示す。 ソース・ポート変換テーブル(SPTT)の一実施形態を例示する。 暗号化された元パケットをカプセル化するNAPT変換パケットを示す。 復号化後の図4のパケットを示す。 図4に対応する、送信路内のNAPTを含ませることによって生じる違法な重複接続を表す先のパケットと同一のパス上の第2のパケットを示す。 図5に対応する、送信路内のNAPTを含ませることによって生じる違法な重複接続を表す先のパケットと同一のパス上の第2のパケットを示す。 セキュリティ・アソシエーションが定義されかつポート番号の範囲が決定されて、両者共にこの宛先とクライアントとの間の通信のためのプロトコル・スタックにインストールすることとなる、インターネット鍵交換のフローチャートを例示する。 受信パケットが最初に宛先ホストに到着した場合に利用可能なオプションを示すフローチャートである。 暗号化された元パケットをカプセル化しかつNAPTを通った受信パケットのエントリAにおける処理と、NAPTを通っていないIPsecパケットのエントリBにおける処理と、NAPTを通っておらずかつIPsecパケットでもないエントリDにおける処理とを示すフローチャートである。 図10からの受信パケットの処理を継続する。 カプセル化およびNAPT通過という両条件を満足しない受信パケットを処理する一代替方法を示すフローチャートである。 割り当ておよび未割り当てポート・番号を追跡する利用可能なソース・ポート・プールの実施形態を例示する。

Claims (12)

  1. 接続を識別するためのネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースの衝突を防止する方法であって、遠隔ソース・クライアントからの宛先ホストにおける接続上の受信パケットに応答して、前記接続を司るセキュリティ・アソシエーションに従うポート番号の範囲内でポート番号が利用可能であるかどうかを判断するステップと、利用可能なポート番号を前記接続に割り当てることによって、重複ソースの可能性を回避するステップと、前記接続を司るポート番号の前記範囲内で利用可能なポート番号がない場合に、前記パケットを拒絶するステップとを含む、方法。
  2. 遠隔ソース・クライアント毎に割り当て可能なポート番号のリストと、前記リスト内の各ポート番号の前記割り当ておよび非割り当て状態とを保持するステップをさらに含む、請求項1に記載の方法。
  3. 割り当て可能なポート番号の各リストは、ビット・ベクトルであって、ビット位置は、ポート番号を識別し、前記ビットの状態は、前記ポート番号の前記割り当ておよび非割り当て状態を表す、請求項2に記載の方法。
  4. 各クライアント側の接続を変換されたポート番号に関連付けるソース・ポート変換テーブルを保持するステップをさらに含む、請求項1に記載の方法。
  5. 前記ソース・ポート変換テーブルは、ソース・ポート・エントリと、変換されたソース・ポート・エントリとを含み、各ソース・ポート・エントリは、変換されたソース・ポート・エントリに固有に関連付けられ、各ソース・ポート・エントリは、インターネット・ソース・アドレスと、NAPTによって割り当てられたUDPソース・ポート番号と、クライアント・ソース・ポート番号と、クライアント・プロトコル識別子とを含み、各変換されたソース・ポート・エントリは、インターネット・ソース・アドレスと、変換されたクライアント・ソース・ポート番号と、クライアント・プロトコル識別子とを含み、ソース・ポート・エントリは、受信パケット上で検索されて、遠隔クライアント接続に以前に割り当てられたポート番号を識別し、変換されたソース・ポート・エントリは、送信パケット上で検索されて、以前に割り当てられた変換されたポート番号からクライアント・ポート番号を識別する、請求項4に記載の方法。
  6. 接続を識別するためのネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースを防止する方法であって、
    a)パケットをサーバにおいて受信するステップと、
    b)前記パケットがネットワーク・アドレス・ポート変換器によって変換されており、カプセル化および暗号化されたパケットを含むかどうかを判断するステップと、
    c)前記パケットが変換されており、カプセル化および暗号化されたパケットを含む場合には、前記カプセル化されたパケットを復号化して、元の接続情報を得るステップと、
    d)前記接続を司るセキュリティ・アソシエーションに適合するポート番号の範囲内でポート番号が利用可能かどうかを判断するステップと、
    e)利用可能なポート番号を前記接続に割り当てることによって、重複ソースの可能性を回避するステップと、
    f)前記接続を司るポート番号の前記範囲内でポート番号が利用可能でない場合に、前記パケットを拒絶するステップと
    を含む、方法。
  7. 接続毎に割り当て可能なポート番号のリストと、前記リスト内の各ポート番号の割り当ておよび非割り当て状態とを保持するステップをさらに含む、請求項6に記載の方法。
  8. 割り当て可能なポート番号の各リストは、ビット・ベクトルであって、ビット位置は、ポート番号を識別し、前記ビットの状態は、前記ポート番号の前記割り当ておよび非割り当て状態を表す、請求項7に記載の方法。
  9. 接続を識別するためのネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースの衝突を防止するための装置であって、遠隔ソース・クライアントからの宛先ホストにおける接続上の受信パケットに応答して、前記接続を司るセキュリティ・アソシエーションに従うポート番号の範囲内でポート番号が利用可能であるかどうかを判断するための手段と、利用可能なポート番号を前記接続に割り当てることによって、重複ソースの可能性を回避するための手段と、前記接続を司るポート番号の前記範囲内で利用可能なポート番号がない場合に、前記パケットを拒絶するための手段とを備える、装置。
  10. 接続を識別するためのネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースを防止するための装置であって、
    a)パケットをサーバにおいて受信するための手段と、
    b)前記パケットがネットワーク・アドレス・ポート変換器によって変換されており、カプセル化および暗号化されたパケットを含むかどうかを判断するための手段と、
    c)カプセル化されたパケットを復号化して、元の接続情報を得るための手段と、
    d)前記接続を司るセキュリティ・アソシエーションに適合するポート番号の範囲内でポート番号が利用可能かどうかを判断するための手段と、
    e)利用可能なポート番号を前記接続に割り当てることによって、重複ソースの可能性を回避するための手段と、
    f)前記接続を司るポート番号の前記範囲内でポート番号が利用可能でない場合に、前記パケットを拒絶するための手段と
    を含む、装置。
  11. コンピュータにロードされると、前記コンピュータに対して、接続を識別するためのネットワーク・アドレス、プロトコル、およびポート番号を使用するネットワーク・プロトコルにおける重複ソースの衝突を防止する方法を行わせるプログラム命令を記憶するための記憶媒体であって、前記命令は、遠隔ソース・クライアントからの宛先ホストにおける接続上の受信パケットに応答して、前記接続を司るセキュリティ・アソシエーションに従うポート番号の範囲内でポート番号が利用可能であるかどうかを判断するための命令と、利用可能なポート番号を前記接続に割り当てることによって、重複ソースの可能性を回避するための命令と、前記接続を司るポート番号の前記範囲内で利用可能なポート番号がない場合に、前記パケットを拒絶するための命令とを備える、記憶媒体。
  12. 請求項1〜8のいずれか1つに記載の方法の各ステップをコンピュータに実行させるプログラム。
JP2008505873A 2005-04-11 2006-04-07 ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 Expired - Lifetime JP4482601B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/907,659 US8787393B2 (en) 2005-04-11 2005-04-11 Preventing duplicate sources from clients served by a network address port translator
PCT/EP2006/061443 WO2006108808A1 (en) 2005-04-11 2006-04-07 Preventing duplicate sources from clients served by a network address port translator

Publications (3)

Publication Number Publication Date
JP2008536418A JP2008536418A (ja) 2008-09-04
JP2008536418A5 JP2008536418A5 (ja) 2009-03-12
JP4482601B2 true JP4482601B2 (ja) 2010-06-16

Family

ID=36645677

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008505873A Expired - Lifetime JP4482601B2 (ja) 2005-04-11 2006-04-07 ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止

Country Status (10)

Country Link
US (2) US8787393B2 (ja)
EP (1) EP1872562B1 (ja)
JP (1) JP4482601B2 (ja)
CN (1) CN101133625B (ja)
AT (1) ATE460039T1 (ja)
BR (1) BRPI0607516B1 (ja)
CA (1) CA2602789C (ja)
DE (1) DE602006012644D1 (ja)
TW (1) TWI380650B (ja)
WO (1) WO2006108808A1 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7852961B2 (en) * 2004-05-20 2010-12-14 Samsung Electronics Co., Ltd. Digital broadcasting transmission/reception devices capable of improving a receiving performance and signal processing method thereof
US8787393B2 (en) 2005-04-11 2014-07-22 International Business Machines Corporation Preventing duplicate sources from clients served by a network address port translator
US7962652B2 (en) 2006-02-14 2011-06-14 International Business Machines Corporation Detecting network topology when negotiating IPsec security associations that involve network address translation
JP2009111437A (ja) * 2007-10-26 2009-05-21 Hitachi Ltd ネットワークシステム
US8108514B2 (en) 2008-04-02 2012-01-31 International Business Machines Corporation High availability of internet protocol addresses within a cluster
CN101674606A (zh) * 2009-09-25 2010-03-17 华为技术有限公司 数据传输方法及装置
GB2474843B (en) * 2009-10-27 2012-04-25 Motorola Solutions Inc Method for providing security associations for encrypted packet data
US8806033B1 (en) * 2011-06-30 2014-08-12 Juniper Networks, Inc. Effective network identity pairing
US8775614B2 (en) 2011-09-12 2014-07-08 Microsoft Corporation Monitoring remote access to an enterprise network
CN103139189B (zh) * 2011-12-05 2017-03-22 京信通信系统(中国)有限公司 一种IPSec隧道共用方法、系统及设备
US20140153577A1 (en) * 2012-12-03 2014-06-05 Aruba Networks, Inc. Session-based forwarding
CN105515990A (zh) * 2014-09-23 2016-04-20 中国电信股份有限公司 基于二维信息进行寻路的方法和接入网关
CN106899474B (zh) * 2016-12-07 2020-06-09 新华三技术有限公司 一种报文转发的方法和装置
FR3072233B1 (fr) * 2017-10-10 2020-11-27 Bull Sas Procede de generation de requetes pour la segmentation de la surveillance d'un reseau d'interconnexion et materiel associe
US11526499B2 (en) 2019-02-18 2022-12-13 International Business Machines Corporation Adaptively updating databases of publish and subscribe systems using optimistic updates
US11381665B2 (en) 2019-02-18 2022-07-05 International Business Machines Corporation Tracking client sessions in publish and subscribe systems using a shared repository
CN112242943B (zh) * 2020-11-26 2022-08-16 迈普通信技术股份有限公司 IPSec隧道建立方法及装置、分支设备、中心端设备
US11778071B2 (en) * 2021-01-26 2023-10-03 Avago Technologies International Sales Pte. Limited Systems and methods for converting between a lossy communication protocol and a lossless communication protocol
US11765238B1 (en) * 2022-06-21 2023-09-19 Juniper Networks, Inc. Non-translated port oversubscribing for a proxy device

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5758084A (en) * 1995-02-27 1998-05-26 Hewlett-Packard Company Apparatus for parallel client/server communication having data structures which stored values indicative of connection state and advancing the connection state of established connections
US5787086A (en) * 1995-07-19 1998-07-28 Fujitsu Network Communications, Inc. Method and apparatus for emulating a circuit connection in a cell based communications network
US6560220B2 (en) * 1997-06-20 2003-05-06 Telefonaktiebolaget L M Ericsson (Publ) Network access device and telecommunications signaling
US6138144A (en) * 1997-06-24 2000-10-24 At&T Corp. Method for managing multicast addresses for transmitting and receiving multimedia conferencing information on an internet protocol (IP) network implemented over an ATM network
US6615357B1 (en) 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US6347376B1 (en) 1999-08-12 2002-02-12 International Business Machines Corp. Security rule database searching in a network security environment
ATE291317T1 (de) * 2000-06-26 2005-04-15 Cit Alcatel Adressierungsschema für ein ip basiertes funkzugriffsnetz
US7120697B2 (en) * 2001-05-22 2006-10-10 International Business Machines Corporation Methods, systems and computer program products for port assignments of multiple application instances using the same source IP address
JP2002232450A (ja) * 2001-01-31 2002-08-16 Furukawa Electric Co Ltd:The ネットワーク中継装置、データ通信システム、データ通信方法およびその方法をコンピュータに実行させるプログラム
AU2002258113A1 (en) * 2001-02-20 2002-09-24 Innomedia Pte Ltd. Device and system for sending datagrams in a real time streaming media communication system
EP1368952A1 (en) * 2001-03-16 2003-12-10 Matsushita Electric Industrial Co., Ltd. Method and apparatus for setting up a firewall
US20020144024A1 (en) * 2001-03-30 2002-10-03 Kumpf David A. Method and system for assigning peripheral devices to logical ports of a network peripheral server
EP1267529B1 (en) * 2001-06-14 2007-11-14 Hitachi Ltd. Data packets acknowledgment system
US7684317B2 (en) 2001-06-14 2010-03-23 Nortel Networks Limited Protecting a network from unauthorized access
US6898652B2 (en) * 2001-08-22 2005-05-24 General Atomics Wireless device attachment and detachment system, apparatus and method
US7363286B2 (en) * 2001-10-29 2008-04-22 International Business Machines Corporation File system path alias
US20030140089A1 (en) * 2001-11-01 2003-07-24 Hines Kenneth J. Inter-applet communication using an applet agent
US20030154306A1 (en) * 2002-02-11 2003-08-14 Perry Stephen Hastings System and method to proxy inbound connections to privately addressed hosts
JP3819804B2 (ja) * 2002-05-09 2006-09-13 日本電信電話株式会社 Ipネットワーク接続機能を備えたネットワークインターフェイスを用いる通信方式およびその装置
US7143137B2 (en) 2002-06-13 2006-11-28 Nvidia Corporation Method and apparatus for security protocol and address translation integration
US7339889B2 (en) * 2002-06-20 2008-03-04 Nortel Networks Limited Control plane architecture for automatically switched optical network
KR100479261B1 (ko) 2002-10-12 2005-03-31 한국전자통신연구원 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치
US7346770B2 (en) 2002-10-31 2008-03-18 Microsoft Corporation Method and apparatus for traversing a translation device with a security protocol
US7386881B2 (en) * 2003-01-21 2008-06-10 Swander Brian D Method for mapping security associations to clients operating behind a network address translation device
US20040193677A1 (en) * 2003-03-24 2004-09-30 Shaul Dar Network service architecture
JP4352748B2 (ja) * 2003-04-21 2009-10-28 パナソニック株式会社 中継装置
US7633948B2 (en) * 2003-07-07 2009-12-15 Panasonic Corporation Relay device and server, and port forward setting method
US7283517B2 (en) * 2003-07-22 2007-10-16 Innomedia Pte Stand alone multi-media terminal adapter with network address translation and port partitioning
US7287077B2 (en) * 2003-08-07 2007-10-23 International Business Machines Corporation Reservation of TCP/UDP ports using UID, GID or process name
CN1317874C (zh) * 2003-09-27 2007-05-23 财团法人资讯工业策进会 提供虚拟主机服务快速查询置换的网络地址端口转换网关器与方法
US7424025B2 (en) * 2003-10-01 2008-09-09 Santera Systems, Inc. Methods and systems for per-session dynamic management of media gateway resources
JP3762402B2 (ja) * 2003-10-07 2006-04-05 キヤノン株式会社 データ処理装置及び方法
US20050166206A1 (en) 2004-01-26 2005-07-28 Parson Dale E. Resource management in a processor-based system using hardware queues
JP4555592B2 (ja) * 2004-03-31 2010-10-06 富士通株式会社 パケット処理システム
US20050265252A1 (en) * 2004-05-27 2005-12-01 International Business Machines Corporation Enhancing ephemeral port allocation
US7366182B2 (en) * 2004-08-13 2008-04-29 Qualcomm Incorporated Methods and apparatus for efficient VPN server interface, address allocation, and signaling with a local addressing domain
US7656795B2 (en) 2005-04-11 2010-02-02 International Business Machines Corporation Preventing duplicate sources from clients served by a network address port translator
US8787393B2 (en) 2005-04-11 2014-07-22 International Business Machines Corporation Preventing duplicate sources from clients served by a network address port translator

Also Published As

Publication number Publication date
EP1872562A1 (en) 2008-01-02
CA2602789C (en) 2015-10-06
ATE460039T1 (de) 2010-03-15
US8787393B2 (en) 2014-07-22
EP1872562B1 (en) 2010-03-03
US20060227770A1 (en) 2006-10-12
BRPI0607516B1 (pt) 2020-06-02
WO2006108808A1 (en) 2006-10-19
BRPI0607516A2 (pt) 2012-01-17
TWI380650B (en) 2012-12-21
US9253146B2 (en) 2016-02-02
CA2602789A1 (en) 2006-10-19
JP2008536418A (ja) 2008-09-04
TW200709629A (en) 2007-03-01
DE602006012644D1 (de) 2010-04-15
CN101133625A (zh) 2008-02-27
US20140244862A1 (en) 2014-08-28
CN101133625B (zh) 2011-10-12

Similar Documents

Publication Publication Date Title
US9253146B2 (en) Preventing duplicate sources from clients served by a network address port translator
JP4766574B2 (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
US11290420B2 (en) Dynamic VPN address allocation
US7107614B1 (en) System and method for network address translation integration with IP security
JP3793083B2 (ja) トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置
US7386881B2 (en) Method for mapping security associations to clients operating behind a network address translation device
US20150304427A1 (en) Efficient internet protocol security and network address translation
JP2009111437A (ja) ネットワークシステム
KR100479261B1 (ko) 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치
US20130013915A1 (en) Internet protocol security (ipsec) packet processing for multiple clients sharing a single network address
CN100464540C (zh) 一种跨网关通信的方法
US20060268863A1 (en) Transparent address translation methods
KR100562390B1 (ko) 호스트 라우팅과 IP Aliasing 기법을 이용한 네트워크 데이터 플로우 식별 방법 및 시스템
JP3636095B2 (ja) Vpn接続のセキュリティ
CN114513387A (zh) 一种隧道建立方法、装置及设备

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090122

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090122

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20100210

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20100226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100316

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100319

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130326

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4482601

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140326

Year of fee payment: 4