FI116017B - Menetelmä viestien lähettämiseksi turvallisten mobiiliviestintäyhteyksien läpi - Google Patents

Menetelmä viestien lähettämiseksi turvallisten mobiiliviestintäyhteyksien läpi Download PDF

Info

Publication number
FI116017B
FI116017B FI20020113A FI20020113A FI116017B FI 116017 B FI116017 B FI 116017B FI 20020113 A FI20020113 A FI 20020113A FI 20020113 A FI20020113 A FI 20020113A FI 116017 B FI116017 B FI 116017B
Authority
FI
Finland
Prior art keywords
terminal
mobile terminal
address
ipsec
message
Prior art date
Application number
FI20020113A
Other languages
English (en)
Swedish (sv)
Other versions
FI20020113A0 (fi
FI20020113A (fi
Inventor
Sami Vaarala
Antti Nuopponen
Original Assignee
Netseal Mobility Technologies
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=8562865&utm_source=***_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=FI116017(B) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Netseal Mobility Technologies filed Critical Netseal Mobility Technologies
Priority to FI20020113A priority Critical patent/FI116017B/fi
Publication of FI20020113A0 publication Critical patent/FI20020113A0/fi
Priority to PCT/FI2003/000046 priority patent/WO2003063444A1/en
Priority to US10/500,928 priority patent/US7346926B2/en
Publication of FI20020113A publication Critical patent/FI20020113A/fi
Application granted granted Critical
Publication of FI116017B publication Critical patent/FI116017B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • H04L61/2532Clique of NAT servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

116017
5 MENETELMÄ VIESTIEN LÄHETTÄMISEKSI TURVALLISTEN MOBIILIVIESTINTÄ-YHTEYKSIEN LÄPI
KEKSINNÖN ALA
10
Keksintö koskee menetelmiä viestien lähettämiseksi mobiiliviestintäyhteyksien, erityisesti turvallisten mobiiliviestintäyhteyksien, läpi.
15 TEKNIIKAN TASO
Internet on joukko yksittäisiä verkkoja, jotka on kytketty yhteen niiden välissä olevien verkkolaitteiden kautta ja toimii yhtenä ainoana suurena verkkona. Erilaisia verkkoja voidaan kytkeä yhteen reitittimillä ja muilla verkostointilaitteilla internetin luomiseksi.
20 Lähiverkko (Local Area Network, LAN) on tietoverkko, joka kattaa suhteellisen pienen maantieteellisen alueen. Tyypillisesti se kytkee yhteen työasemia, henkilökohtaisia :v. tietokoneita, tulostimia ja muita laitteita. Kaukoverkko (Wide Area Network, WAN) on • · • · tietoverkko, joka kattaa suhteellisen laajan maantieteellisen alueen. Kaukoverkot 25 (WAN) kytkevät lähiverkkoja (LAN) yhteen normaalien puhelinlinjojen ja esimerkiksi optisten verkkojen kautta; siten kytkien yhteen maantieteellisesti hajautuneita käyttäjiä.
«* » :[**: Tietoja ja tiedonlähteitä pitää suojata leviämiseltä, tiedon autentisuuden varmistamiseksi ja järjestelmien suojaamiseksi verkkoon kohdistuvilta hyökkäyksiltä.
Γν 30 IP-turvaprotokollat (IPSec) antaa valmiuden turvata satunnaisten verkkoasemien j välinen viestintä, esim. LAN:ssa, yksitys- ja yleissä kaukoverkoissa (WAN) ja
* I I I
: ‘ ”: internetissä.
: 35 IPSec voi salata ja/tai autentikoida liikennettä IP-tasolla. WAN:iin menevä liikenne tyypillisesti pakataan ja salataan, ja WAN:lta tulevan liikenteen salaus puretaan ja 2 116017 5 avataan. IPSec:in määrittelee tietyt dokumentit, jotka sisältävät sääntöjä IPSec-arkkitehtuuria varten. Dokumentit, jotka määrittelevät IPSec:in ovat tällä hetkellä Internet Engineering Task Force:in (IETEF) Request For Comments RFC-sarja, varsinkin RFC:t 2401-2412.
ίο Turvayhteys (Security Association, SA) on avainkäsite IP:n autentikointi- ja luottamuksellisuusmekanismeissa. Turvayhteys on yksisuuntainen suhde lähettäjän ja vastaanottajan välillä, joka tarjoaa varmuuspalveluja sen kantamalle liikenteelle.
Turvayhteys määritetään ainutlaatuisesti kolmen parametrin avulla. Ensimmäinen, joka 15 on turvaparametri-indeksi (Security Parameters Index, SPI), on bittijono joka osoitetaan tälle SA:lle. SPI antaa vastaanottavalle järjestelmälle mahdollisuuden valita se SA, jonka alla vastaanotettu paketti käsitellään. IP-kohdeosoite on toinen parametri, joka on SA:n kohteen loppupisteen osoite, joka voi olla loppukäyttäjän järjestelmä tai verkkojärjestelmä, kuten palomuuri tai reititin. Kolmas parametri on käytetty 20 varmuusprotokolla, s.o. AH tai ESP.
Termiä IPSec-yhteys käytetään seuraavassa IPSec-kimpun sijasta yhdestä tai useasta turvayhteydestä, tai yhden tai useamman turvayhteyden IPSec-kimppujen parista -·:·· yksi kimppu kumpaakin suuntaa varten. Tämä termi kattaa siten sekä yksisuuntaisen ·:··: 25 että kaksisuuntaisen liikenteen suojaamisen. Suuntien symmetriaan ei oteta kantaa, s.o. kumpaakin suuntaa varten käytetyt algoritmit ja IPSec - muutokset voivat olla
• I
: erilaisia.
• I
11C017 3 5 algorithm (NAT). Monipuolisempi viestin osoitekäännösversio ei kata ainoastaan IP-osoitekenttiä, vaan myös kuljetusprotokollan kenttiä, kuten TCP- tai UDP-portteja. Tämä tehdään, koska Transmission Control Protocol, eli TCP- ja User Datagram Protocol,eli UDP-protokollia käytetään laajasti kuljetuskerroksen protokollina, joita yleensä käytetään yhdessä IP:n kanssa, ja TCP- ja UDP-porttinumeron käännökset ίο mahdollistavat sen, että useat sessiot voidaan multipleksoida yhteen ainoaan yleiseen IP-osoitetteeseen. Näitä käännöksiä kutsutaan usein verkko-osoitteen porttikännöksiksi, Network Address Port Translation (NAPT). Termillä NAT tarkoitetaan tässä asiakirjassa kaikkia sellaisia käännösmenetelmiä.
15 Jotkut NAT algoritmit tukevat ainoastaan olemassa olevia IP:hen perustuvia protokolla-asetelmia. Eli, jos käytetään protokollaa, jota tietty NAT laite ei tue, laite tukkii sen liikenteen, joka käyttää sitä protokollaa. Sama pätee jos tavallinen väliverkkoasema, esim. reititin, konfiguroidaan estämään tietyntyyppistä liikennettä. Silloin viesti voidaan kapseloida toiseen protokollaan, joka läpäisee tällaiset välitietokoneet. Tunnelointi on 20 eräs menetelmä tietyn protokollan pakettien kapseloimiseksi toiseen protokollaan, jotta tällaiset välitietokoneiden rajoitukset ylitettäisiiin. Tunnelointia sovelletaan nk. tunnelin sisäänpääsypisteessä, kun taas päinvastainen, s.o. alkuperäisen paketin avaaminen, tehdään nk. tunnelin ulosmenopisteessä.
>t 25 NAT läpäisyteknologioita käytetään (1) sen määrittämiseksi onko NAT laitetta (tai .··*, useita NAT laitteita) olemassa kahden viestivän verkkoaseman reitillä ja (2) : mahdollisen kapseloinnin suorittamiseksi NAT käännösten ylitsepääsemiseksi. Voi • t myös olla muita käännöksiä, kuten protokollan käännöksiä, joita NAT laite tai joku muu laite suorittaa. Esimerkiksi IPv4 voidaan kääntää Ipv6:ksi ja päinvastoin.
30
Kun halutaan lähettää turvallisia viestejä verkosta, joka vaatii NAT käännöksiä, ; ’·, voidaan käyttää IPSec protokollia. On olemassa useita IPSec NAT läpäisyratkaisuja.
;··. The Internet Engineering Task Force (IETF) on tällä hetkellä tekemässä ., ’ standardisoitua IPSec NAT läpäisyratkaisua.
» ) » : 35 116017 4 5 Vaikkakin IPSec:llä saadaan vahva turvaratkaisu, joka jo tukee NAT laitteiden ylittämistä, IPSec on luonteeltaan staattinen. Jos jompikumpi verkkoasemista, jotka jakavat IPSec SA:n, on mobiili, s.o. verkkosema liikkuu yhdestä IP-verkosta toiseen, on asetettava uusi turvayhteys joka kerta kun tällaista liikkumista tapahtuu. Tähän yleensä liittyy IKE-protokolla.
10 Tällaiseen IKE-protokollaan kuuluu useita edestakaisia signaaleja uuden SA:n asettamiseksi uudelle käytettävälle verkolle. Tunnetussa IPSec NAT- läpäisymenetelmässä, jonka IETF on kehittänyt, avaintenvaihtovaihe vaatii IKE päämoodin käyttämistä, joka koostuu kuudesta viestistä, jonka jälkeen seuraa IKE 15 pikamoodi, joka muodostuu kolmesta viestistä, yhteensä yhdeksästä viestistä. Jos käytetään agressiivista IKE - moodia, joka muodostuu kolmesta viestistä, päämoodin sijasta, vaaditaan yhteensä kuusi viestiä.
Tällä ratkaisulla on useita haittoja. Ensinnäkin edestakaiset signalointiajat voivat olla 20 huomattavia, jos on huomattavaa reitityslatenssia uuden verkon ja toisen IPSec päätepisteen välillä. Kahden viestinoodin välinen latenssi mitataan yleensä edestakaisten signaalien viipymänä (kutsutaan myös signalointilatenssiksi).
;v# Signalointilatenssi on mitta siitä ajasta, joka kuluu paketin lähettämiseen yhdestä • · viestivästä noodista toiseen ja se aika, joka kuluu siihen että toinen noodi lähettää ...,: 25 vastauksen takaisin lähettäjälle.
•» » • | : Esimerkiksi jos verkolla on 500 ms:n edestakaisen signaalin latenssi mikä ei ole
* I
: mitenkään epätavallista ja käytetään IKE päämoodia, verkon kokonaislatenssi IPSec yhteyden asettamiseksi on 500 x (9/2) ms = 2250 ms. Tämä ei ole eräissä 30 mobiilisovelluksissa hyväksyttävää. Toiseksi IKE avaintenvaihto vaatii usean laskennallisesti kalliin algoritmin käytön, kuten Diffie-Hellman algoritmin, ja ; mahdollisesti RSA allekirjoituksen ja allekirjoituksen verifiointialgoritmejä. Sellaiset algoritmit saattavat vaatia huomattavaa prosessointia mobiililaitteilta, joiden teho ; · ] saattaa olla rajoitettu.
,·, : 35 5 116017
5 KEKSINNÖN KOHDE
Keksinnön kohteena on menetelmä viestien lähettämiseksi mobiiliviestintäyhteyksien läpi, jotka tukevat protokollan ylittämistä ja turvallisia mobiililinkkejä.
10
KEKSINNÖN KUVAUS
Keksinnön mukaista menetelmää viestien lähettämiseksi turvallisten viestintäyhteyksien yli käytetään verkoissa, jotka käsittävät ainakin yhden 15 mobiilipäätteen ja ainakin yhden toisen päätteen. Mobiilipäätteen ja toisen päätteen välillä saattaa olla välitietokoneita, jotka suorittavat verkon osoitekäännöksiä ja/tai muita käännöksiä. Turvallinen viestintäyhteys asetetaan mobiilipäätteen tietyn alkuperäisen verkko-osoitteen ja toisen päätteen osoitteen välille. Keksinnön mukaisessa menetelmässä turvallinen viestintäyhteys määrittää ainakin näiden kahden 20 päätteen osoitteet. Lisäksi, turvallinen viestintäyhteys tukee jotakin menetelmää, esim. kapselointimenetelmää, verkon osoitekäännösten ja/tai muiden käännösten ylitse-pääsemiseksi. Kun mobiilipääte muuttaa alkuperäisestä verkko-osoitteesta uuteen verkko-osoitteeseen, pyyntöviesti lähetetään mobiilipäätteestä toiselle päättelle * 4 turvallisen yhteyden muuttamiseksi olemaan mobiilipäätteen uuden osoitteen ja toisen
• I
25 pätteen välillä. Pyyntö lähetetään käyttämällä mainittua menetelmää f'·. verkkokäännösten ylitsepääsemiseksi, esim. kapselointimenetelmää. Pyyntö sisältää myös informaatiota jotta toisen päätteen olisi mahdollista tunnistaa mahdollisen välitietokoneen tai mahdollisten välitietokoneiden suorittamien käännösten olemassaolo ja laatu. Pyyntö osoittaa myös mobiilipäätteen tukemat ylitse-j 30 pääsemismenetelmät. Toinen pääte vastaa mobiilipäätteelle vastausviestillä, jossa on * * t kuvaus ylitsepääsemismenetelmistä, kuten kapseloinneista, joita toinen pääte tukee j.ja/tai mahdollisista toisen päätteen ja mobiilipäätteen uuden osoitteen välissä olevien < < » » välitietokoneiden mahdollista käännöksistä. Kaikki viestit lähetetään sen jälkeen mobiilipäättestä toiselle päätteelle käyttämälllä informaatiota, jota lähetettiin tämän t ? · , ·, : 35 vastauksen kanssa.
, 116017 6 5 Termi mobiilipääte ei tässä välttämättä viittaa ainoastaan fysikaaliseen liikkuvuuteen. Pikemminkin, mobiilipäätteen katsotaan olevan mobiili, jos se muuttaa verkkoonpääsy menetelmänsä. Tämä ei välttämättä vaadi fysikaalista liikkuvuutta.
Joitakin edullisia suoritusmuotoja kuvataan seuraavassa.
10
Termiä rekisteröintipyyntö (RREQ) käytetään viestistä, jota mobiilipääte käyttää muutoksen pyytämiseksi turvallisen yhteyden osoitteeseen. Termiä rekisteröintivastaus (RREP) käytetään viestistä, jota toinen pääte käyttää rekisteröintipyynnön vastauksena. Nämä kaksi viestiä ovat edullisesti samantapaisia kuin samannimiset 15 viestit, joita käytetään mobiili IP-standardissa, mutta niiden täsmällinen sisältö ei ole olennainen keksinnölle.
Olennaista keksinnössä on se tosiasia, että kun mobiilipääte muuttaa uuteen osoitteeseen ja lähettää rekisteröintipyyntöviestin (RREQ) toiselle päätteelle, se ei 20 tiedä mitä protokollia ja sääntöjä voidaan käyttää uudessa viestintäyhteydessä. Se ei edes tiedä, onko uudessa viestintäyhteydessä välitietokoneita, jotka suorittavat esim. verkon osoitekäännöstä, Network Address Translation (NAT), ja/tai muita käännöksiä.
• I » • ·
Pyyntöviesti lähetetään siksi edullisessa suoritusmuodossa käyttämällä sellaisia 25 kapselointiprotokollia, joita pidetään yleisimpinä ja joita mahdollisimman monet .···, konvertoivat välitietokoneet, kuten esimerkiksi NAT-laitteet, tukevat. Tämä tarkoittaa * * .·> : sitä, että mobiilipääte lähettää rekisteröintipyyntöviestin esim. tavalla, joka käyttää "parasta mahdollista” käytettävissä olevaa läpäisymenetelmää (esim. UDP tai TCP tunnelointia kapselointimenetelmänä). Tällöin sen todennäköisyys, että RREQ aina :*·*: 30 saavuttaa toisen päätteen on suurempi riippumatta mahdollisista mobiilipäätteen ja : ” ’: toisen päätteen välisellä reitillä olevista NAT-laitteista.
I * # RREQ viestiin sisältyy viestin kuvaus, joka yleisesti ottaen osoittaa mobiilipäätteen ;. j osoitteen ja kapselointiprotokollat, mukaan lukien siinä käytetyt parametrit. Kuvauksen : 35 perusteella toinen pääte voi päätellä onko esim. mahdolliset välilaitteet modifioinut (paketti)viestiä reitillä tai ei.
116017 7 5 Viestin kuvaukseen sisällytetty täsmällinen informaatio riippuu välitietokoneen tai välitietokoneiden luonteesta ja kapselointimenetelmästä, mutta tavallisimmin informaatioon kuuluu viestin uloimmassa ulkotunnisteessa käytetyt lähde-ja kohde IP-osoitteet. Lisäksi kuljetukerroksen aliosoiteinformaatiota saattaa olla sisällytettynä, kuten TCP- ja UDP-portteja. Muut kuin edellä olevien esimerkkien ίο kapselointimenetelmät vaativat kokonaan toisenlaista kapselointitietoa. Esimerkiksi kapselointimenetelmä, joka perustuu kapselointiviesteihin HyperText Transfer Protocol (HTTP) viestien sisäpuolella vaatii täysin erilaista kapselointitietoa. Yleinen idea pysyy kuitenkin samana.
15 Siten rekisteröintipyyntöön kuuluu informaatiota siitä, kuinka mobiilipääte kapseloi viestin ennen lähettämistä. Esimerkiksi jos käytetään UDP kapselointia rekisteröintiin kuuluu tyypillisesti seuraavat kentät: - IP-lähdeosoite - IP-kohdeosoite 20 - UDP lähdeportti - UDP kohdeportti NAT-laitteet tyyppillisesti manipuloisivat IP-lähdeosoitteen ja mahdollisesti UDP-·:··· lähdeportin, mutta myös kohdeosoite- ja porttikenttiä voidaan manipuloida. Laitteet :*·: 25 eivät kuitenkaan manipuloisi näiden kenttien kopioita, jotka lähetetään pyyntöviestin sisäpuolella, joka siten toimii menetelmänä tälläisten muutosten tunnistamiseksi.
I |
Kun toinen pääte on saanut pyyntöviestin, se voi määrittää tutkimalla pyyntöä mitä käännöksiä ja/tai kapselointeja mobiilipäätteen ja toisen päätteen välillä sijaitsevat : '.: 30 laitteet ovat tehneet.
t * * » · Pääte sitten lähettää rekisteröinnin vastausviestin, joka sisältää tietoa mobiilipäätteen uuden osoitteen ja toisen päätteen välillä käytettävästä viestintälinkistä ja jota toinen pääte tukee. Viestiin voi sisältyä tietoa NAT-käännöksistä, protokollakäännöksistä ja 35 muista toisen päätteen tunnistamista käännöksistä ja tällaisiin käännöksiin liittyvistä parametreistä. Viesti voi myös osoittaa mitä kapselointimenetelmiä tulisi käyttää 116017 8 5 uudessa viestintäyhteydessä ja niiden parametreissä. Vastausviesti lähetetään käyttämällä kapselointimenetelmää, edullisesti käyttämällä samaa kapselointimenetelmää, jota käytettiin pyyntöviestissä. Eräässä suoritusmuodossa käytetyt kapselointimenetelmät ja niiden parametrit voidaan sisällyttää vastausviestiin, jotta mobiiiipääte voisi riippumattomasti tunnistaa käännökset samalla tavalla kun to viestin kuvaus aikaisemmin sisällytettiin pyyntöviestiin.
Toinen pääte tunnistaa rekisteröintipyyntöviestiin suoritetut käännökset esim. vertaamalla viestin tämän hetkisiä alkutunnistekenttiä niihin kenttiin, jotka olivat viestissä ennen lähettämistä ja joita ei ole käännetty. Verrattavat kentät ovat 15 esimerkiksi ulompi IP-alkutunniste ja/tai UDP-alkutunniste, jos UDP-kapselointia käytetään. Jos kentissä on eroja, se osoittaa että on tapahtunut yhden tai useamman välitietokoneen suorittamia käännöksiä. Käännöksen luonne, esim. se suoritettiinko osoite- ja porttikäännös, voidaan samalla tavalla tunnistaa vertaamalla kenttiä.
20 Lähettäessään rekisteröintivastauksensa toinen pääte osoittaa vaaditaanko NAT-läpäisyä perustuen edellä keskusteltujen kenttien eroihin. S.o., toinen pääte määrittää mitä kapselointimenetelmää tulisi käyttää.
· · • · · • « ·:**: Mainitussa toisessa vaihtoehdossa, jossa käytettiin kapselointimenetelmää tai *: ”: 25 menetelmiä, jossa parametrit oli sisällytetty vastausviestiin, jotta mobiiiipääte voisi riippumattomasti tunnistaa käännökset, mobiiiipääte voi itse määrätä läpäisytarpeen ja • · :.' - j valita käytettävän kapselointimenetelmän.
Jos mobiiiipääte huomaa että sekä oma että toisen päätteen näkemys vaihdetuista : ·* 30 paketeista ovat samat se on osoitus siitä, että NAT-laitteita ei ole reitillä eikä NAT-• · » ’·;* läpäisy ole välttämätön. Vaihtoehtoisesti ensin mainitun suoritusmuodon mukaisesti, j.i · toinen pääte saattaa tunnistaa, että mitään käännöksiä ei ole suoritettu ja osoittaa :: mobiilipäättelle että kapseloiminen on tarpeetonta.
» 35 Jos reitillä ei näytä olevan NAT-laitteita, mobiiiipääte voi heti jättää NAT- läpäisytoimenpiteet pois vaikkakin harvinaisissa tilanteissa yhteys saattaa silti olla 116017 9 5 toimimatta ilman läpäisytoimenpiteitä. Esimerkiksi pakettisuodatinreitittimet, jotka tunnetaan myös palomuureina, saattaa estää viestinnän käyttämällä joitakin protokollia ja kuitenkin sallia viestinnän toisilla protokolilla, vaikkakaan ne eivät suorita protokollan käännöksiä. Tästä syystä niitä ei yleensä voi tunnistaa pakettien muokkauksen perusteella. Sitä vastoin jotkut protokollat yksinkertaisesti joko läpäisevät ne tai eivät, ίο Tämä saattaa aiheuttaa sen, että rekisteröintiviesti(t) läpäisevät palomuurin tai -muurien, kun taas varsinainen liikenne rekisteröinnin jälkeen ehkä ei läpäise.
Mobiilipäätteen pitäisi edullisesti tunnistaa tämä olemassaolo ja kytkeytyä takaisin kapselointimoodiin, edullisesti siihen, jota käytettiin rekisteröintiin ja jonka jo tiedetään 15 läpäisevän välitietokoneen tai - koneet. Vaihtoehtoisesti mobiilipääte saattaa lähettää koepaketin, joka ei ole kapseloitu, käyttämällä rekisteröinnissä käytettyä menetelmää ja jos toinen pääte vastaa kokeeseen se on vahva, mutta ei varma, osoitus siitä, että välitietokone tai -tietokoneet sallii kapseloimatonta liikennettä. Kun sellaista koeprotokollaa käytetään, tietoliikennettä voidaan lähettää käyttämällä tätä 20 kapselointimenetelmää, kunnes kokeen tulokset tiedetään. Siinä tapauksessa, että palomuuri tai -muurit sallivat kokeen mutta jokin tietoliikenteessä käytetty protokolla ei, mobiilipäätteen pitäisi edullisesti kytkeytyä takaisin ensimmäiseen kapselointimoodiin.
* · · t I t
Turvallista yhteyttä käytetään edullisesti käyttämällä IPSec protokollaa, kun taas 25 viestinnän viestit lähetetään käyttämällä IPSec:iä ja mahdollisesti NAT läpäisy- kapselointia, edullisesti IPSec pakettien UDP tai TCP kapselointia. Keksinnössä turvallinen yhteys voidaan päivittää tehokkaasti mobiilipäätteen uuteen verkko-osoitteseen. Viestit voidaan lähettää ilman NAT läpäisytoimenpiteitä tai muita viestintäyhteyden muutoksia, jos mobiilipäätteen suorittaman vertailun perusteella
• V 30 viestin kuvaukset vastaavat toisiaan tai jos toinen pääte informoi, että kapselointi NAT
:,,,· ja/tai muiden käännösten ylitsepääsemiseksi on tarpeetonta. Kuitenkin siinäkin : tapauksessa voi olla niin, että kapselointia suoritetaan joka tapauksessa sen varmistamiseksi, että tunnistamattomat käännökset ja/tai pakettisuodatus ei estäisi ; ·. liikenteen lähettämistä.
• I t 35 10
1KOU
5 Turvallinen viestintäyhteys, joka aikaan saadaan mobiilipäätteen ja toisen päätteen välille, kutsutaan, kuten jo esitettiin IPSec protokollan avulla, IPSec yhteydeksi tässä tekstissä. Siten pyyntö joka lähetetään mobiilipäätteestä sisältää tietoa käytettävästä uudesta yhteydestä.
ίο IPSec yhteyden muodostamiseksi käytetään avaintenvaihtomekanismia, joka läpäisee NAT:in. Jos välitietokone ta -tietokoneet sallivat UDP protokollan, mahdollisesti tekemällä UDP-porttikäännöksen, IKE avaintenvaihtoprotokollaa voidaan käyttää pienillä muutoksilla. Mikä vain avaintenvaihtoprotokolla voidaan helposti saada läpäisemään NAT-laitteet käyttämällä asianmukaista kapselointiprotokollaa tai -15 protokollien asetelmaa avaintenvaihtoviestin kapseloimiseksi. On myös käyttökelpoista käyttää useita kapseloinitmekanismeja samanaikaisesti, jotta se mahdollisuus että ainakin yksi niistä läpäisisi välitietokoneen tai -tietokoneet olisi suurempi.
Keksinnössä voidaan asettaa sovellusyhteys esim. mobiilipäätteen ja verkkoaseman 20 välille, joka on kytketty toiseen päätteeseen (jossa tapauksessa verkkoasemaa kutsutaan "toiseksi päätteeksi” tekstissä) tai suoraan mobiilipäätteen ja toisen päätteen välille. IPSec yhteys on mobiilipäätteen ja toisen päätteen välillä. Edellisessä , tapauksessa käytetään tunnelimenetelmää IPSec viestinnässä kun taas jälkimmäisessä tapauksessa voidaan käyttää kuljetusmenetelmää. IPSec-tunneli- ja 25 kuljetusmenetelmät ovat kuitenkin vaihtoehtoisia. IPSec-kuljetusmenetelmä voidaan .··*. korvata IPSec tunnelimenetelmällä ja IPSec-tunnelimenetelmä voidaan korvata IPSec : kuljetusmenetelmällä ja mahdollisesti tunnelointiprotokollalla, kuten Layer 2 Tunneling .···. Protocol (L2TP).
• » t 30 Vielä eräässä suoritusmuodossa, voidaan lähettää useita pyyntöviestejä, joista kukin • t käsitellään käyttämällä erilaisia läpäisymekanismeja (esim. UDP NAT läpäisy, TCP ; !·. NAT läpäisy, HTTP tunnelointi jne.), jonka jälkeen toinen pääte osoittaa vastauksessa . · ·. mitä menetelmiä tulee käyttää jatkoviestinnässä.
’·, ; 35 Sen jälkeiset tietopaketit kapseloidaan käyttämällä läpäisymekanismia, joka joko valitaan etukäteen tai neuvotellaan dynaamisesti rekisteröintipyyntö/rekisteröinti- 116017 11 5 vastausvaihdossa. Siinä tapauksessa NAT läpäisyä käytetään ilman ehtoja rekisteröintipyyntö/rekisteröintivastausvaihdolla eikä läpäisytoimenpiteitä tehdä jos se näyttää tarpeettomalta.
Keksinnön mukaisen menetelmän edut ovat: 10 NAT-läpäisymenetelmän tunnistus on riippumaton avaintenvaihtomekanismista (IKE) ja NAT läpäisyn tila, s.o. onko läpäisy mahdoton tai mahdollinen, ja muut siihen liittyvät parametrit, ei ole staattinen osa IPSec yhteyttä mutta voidaan sen sijaan modifioida käyttämällä RREQ/RREP viestivaihtoa uuden yhteyspisteen sovittamiseksi.
15
Handover, s.o. kytkentä yhdestä verkko-osoitteesta toiseen, vaatii puolikkaan signaalireitin, jotta palvelin-asiakastieto alkaisi virtaamaan ja yhden edestakaisen signaalin, jotta asiakas-palvelin tieto alkaisi virtaamaan. Verrattuna standardi IPSec:iin, tämä on suuri parannus, minkä tekee mahdolliseksi modifioidun IPSec SA:n 20 vaihdettava luonne, joka on kuvattu hakemuksessa ja rekisteröintimenetelmä, joka tunnistaa ja reagoi NAT-laitteisiin yhdellä ainoalla edestakaisella signaalilla.
I » I • ·
KUVIOT
• · 25 • ·
Kuvio 1 on esimerkki verkosta, jossa keksinnön mukaista menetelmää voidaan : ‘ : soveltaa.
* I
Kuvio 2 on signalointidiagramma, joka kuvaa keksinnön mukaisen menetelmän erästä : V 30 suoritusmuotoa.
YKSITYISKOHTAINEN KUVAUS
> * · 35 Kuvio 1 kuvaa esimerkkiä verkosta, jossa keksinnön mukaista menetelmää voidaan
I I
soveltaa. Siten verkkoon kuuluu mobiilipääte 1, jolla on IPSec SA, jota tässä kutsutaan ,2 116017 5 IPSec SA 1, joka on asetettu mobiilipäätteen 1 ja toisen päätteen 2 välille, jolloin IPSec SA 1 tukee NAT 1:en tekemiä käännökisä. Kun mobiilipääte 1 muuttaa toiseen osoitteeseen, joka on osoitettu nuolella, on aikaansaatava uusi IPSec SA 2 päätteen 1’ (sama mobiilipääte mutta merkitty 1’ koska se on muuttanut) ja toisen päätteen 2 välille. NAT 2 laite saattaa tukea muita protokollakäännöksiä kuin NAT 1.
10
Keksinnössä, IPSec SA 2 aikaansaadaan modifioimalla olemassaolevaa IPSec SA 1:tä käyttämällä siganalointimekanismia. Tekniikan tason menetelmässä, IPSec SA 2 aikaansaadaan joko manuaalisesti tai käyttämällä jotain automaattista avaintenvaihtoprotokollaa, kuten IKE:ä, aikaisemmin esitetyillä haitoilla.
15
Keksinnön mukaisen menetelmän esimerkki, joka on kuvattu kuviossa 2, tapahtuu kuvion 1 mukaisessa verkossa. Mobiilipääte on kuviossa 2 merkitty X ja toinen pääte on Y.
20 Kuviossa 2 aikaansaadaan ensin IPSec SA yhteys mobiilipäätteen X ja toisen päätteen Y välille. Signalointivaihto, esimerkiksi IKE-protokolla, osoitetaan viitteellä 1 kuviossa 2. Kaikessa X ja Y:n välisessä viestinnässä, NAT-käännökset suoritetaan NAT 1 laitteella ja muodostettu IPSec yhteys tukee NAT-läpäisymenetelmiä näiden • » • * ....: käännösten ylitsepääsemiseksi.
·:··: 25
Kun mobiilipääte X liikkuu kuvion 2 vaiheen 2 osoittamasta toisesta osoitteesta, se
• f I
: suorittaa rekisteröintipyyntö/rekisteröintivastausvaihdon Y:n kanssa osoittaakseen Y:lle että uutta IPSec SA:ta (IPSec SA 2) on käytettävä tuleville Y:lle kohdistetuille paketeille, jotka ja sen päätettäväksi tarvitaanko läpäisytoimenpiteitä tulevassa f» » • *.·' 30 viestinnässä.
* · : Oletetaan että X ei tiedä mitään NAT2:sta, ei edes sitä onko sellaista laitetta reitillä vai > I i ( ei. Pyydetty viesti osoitetaan kuviossa 2 IP/UDP/ESP/IP/RREQ kentillä, mikä osoittaa, että käytetään IPSec ESP suojausta ja UDP kapselointia NAT läpäisymekanismin 35 suorittamiseksi mahdollisten NAT2:n tekemien NAT-käännösten ylitsepääsemiseksi. Tämä viesti lähetetään vaiheessa 3 NAT2:n läpi, joka tekee käännökset vaiheessa 4.
116017 13 5 Vaiheessa 5, viesti välitetään verkkoasemalle Y NAT2:n käännöksen jälkeen. Vaiheissa 3 - 8, X aikaansaa IPSec SA 2:n signalointiviestien avulla. Vastausviesti lähetetään takaisin Y:stä vaiheessa 6 sillä tiedolla tarvitaanko NAT läpäisytoimenpiteitä tähän yhteyspisteeseen. NAT2:ssa osoite ja muut käännökset tapahtuvat kuten tavallisesti vaiheessa 7 ja viesti menee sen jälkeen eteenpäin mobiilipäätteelle X ίο vaiheessa 8.
Kuvio 2 käyttää IPSec ESP tunnelimenetelmää esimerkkinä, mutta mitä vain muita IPSec yhteyksiä voidaan käyttää, esim. IPSec kuljetusmenetelmää.

Claims (20)

14 116017 5 PATENTTIVAATIMUKSET
1. Menetelmä viestien lähettämiseksi turvallisten viestintäyhteyksien yli verkoissa, jotka käsittävät ainakin yhden mobiilipäätteen ja ainakin yhden toisen päätteen, ja joissa verkoissa on yksi tai usempi mahdollinen välitietokone mobiilipäätteen ja ίο toisen päätteen välillä, joka välitietokone suorittaa verkko-osoite- ja/tai muita käännöksiä, jolloin turvallinen viestintäyhteys asetetaan mobiilipäätteen alkuperäisen verkko-osoitteen ja toisen päätteen osoitteen välille, tunnettu siitä, että a) asetetaan turvallinen viestintäyhteys mobiilipäätteen alkuperäisen osoitteen ja 15 toisen päätteen osoitteen välille, jolloin yhteys määrittelee ainakin näiden kahden päätteen osoitteet sekä tukee jotain menetelmää verkko-osoitteiden ja/tai muiden osoitteiden käännösten läpäisemiseksi, joita välitietokone tekee reitillä, b) mobiilipääte muuttaa alkuperäisestä verkko-osoitteesta uuteen verkko- 20 osoitteeseen, c) lähetetään pyyntöviesti käyttämällä vaiheen a) menetelmää mobiilipäättestä toiselle päätteelle muuttamaan turvayhteys olemaan mobiilipäätteen uuden , . , osoitteen ja toisen päätteen välillä, pyynnön myös sisältäessä kuvauksen siitä läpäisymenetelmästä, jonka mobiilipääte suorittaa ja/tai muuta tietoa, jonka _ti. 25 avulla toisen päätteen on mahdollista tunnistaa välitietokoneiden suorittamat ,··>, käännökset, d) toinen pääte vastaa mobiilipäätteelle vastausviestillä, jossa on kuvaus » » .···. mahdollisten mobiilipäätteen uuden osoitteen ja muun päätteen välisten * I t välitietokoneiden tekemistä käännöksistä, ja/tai kapselointimenetelmistä, joita j ’ · ‘: 30 toinen pääte tukee, ja * s e) sen jälkeen lähetetään viesti mobiilipäättestä toiselle päätteelle käyttämällä ; X mainitussa vastauksessa lähetettyä tietoa. > i I
./ 2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että viestin X , 35 kuvaukseen sisältyy lähde- ja/tai kohdeosoitteet, joiden avulla vastaanottavan 15 116017 5 päätteen on mahdollista tunnistaa välitietokoneiden suorittamat osoitteenkäännökset.
3. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että viestin kuvaukseen sisältyy tietoa kapselointiprotokollista, kuten myös lähde- ja kohde ίο TCP-tai UDP-porteista.
4. Patenttivaatimuksen 3 mukainen menetelmä, tunnettu siitä, että NAT läpäisytoimenpiteet suoritetaan UDP-kapseloinnilla, TCP-kapseloinnilla ja/tai jollain muulla kapseloinnilla. 15
5. Jonkin patenttivaatimuksen 1 - 4 mukainen menetelmä, tunnettu siitä, että kun toinen pääte on vastaanottanut pyyntöviestin vaiheessa c), se määrittää tutkimalla pyynnön mitä käännöksiä ja/tai kapselointia vaaditaan mobiilipäätteen ja toisen päätteen välisessä liikenteessä. 20
6. Patenttivaatimuksen 5 mukainen menetelmä, tunnettu siitä, että vaiheen d) vastausviesti sisältää tietoa mobiilipäätteen ja mainitun toisen päätteen välisestä uudesta osoitteesta käytettäväksi viestintäyhteydessä. :··* 25 7. Patenttivaatimuksen 6 mukainen menetelmä, tunnettu siitä, että tietoon viestintäyhteydestä sisältyy tietoa siitä pitääkö NAT läpäisymenetelmiä ja/tai muuta •»· * :\i kapselointia käyttää. * «% » *
8. Jonkin patenttivaatimuksen 1 - 5 mukainen menetelmä, tunnettu siitä, että • · i V 30 vaiheessa d) mobiilipääte vertaa pyyntö- vast, vastausviestien kuvauksia ja ) I t lähettää kaikki sen jälkeiset viestit tästä uudesta verkko-osoitteesta vertailun : perusteella, joka kertoo mitä kapselointeja, protokollia ja sääntöjä on käytettävä : ": tulevassa viestinnässä. * * ·
9. Jonkin patenttivaatimuksen 1 - 8 mukainen menetelmä, tunnettu siitä, että turvallinen viestintäyhteys muodostetaan käyttämällä IPSec-protokollaa. 116017 16
10. Patenttivaatimuksen 9 mukainen menetelmä, tunnettu siitä, että viesti vaiheessa e) lähetetään käyttämällä IPSec ja NAT läpäisytoimenpiteitä, jotka on päivitetty mobiilipäätteen uuteen verkko-osoitteeseen. H.Jonkin patenttivaatimuksen 1 - 8 mukainen menetelmä, tunnettu siitä, että ίο vaiheen e) viesti lähetetään ilman NAT läpäisytoimenpiteitä tai muita muutoksia viestintäyhteydessä jos patenttivaatimuksen 8 mukaisen vertailun perusteella, kuvaukset vastaavat toisiaan tai jos toinen pääte niin tiedottaa vaatimuksessa 7.
12. Jonkin patenttivaatimuksen 1-11 mukainen menetelmä, tunnettu siitä, että 15 turvallinen yhteys on IPSec SA.
13. Patenttivaatimuksen 12 mukainen menetelmä, tunnettu siitä, että IPSec SA:n muodostamiseksi käytetään avaintenvaihtomekanismia, joka läpäisee NAT:in.
14. Patenttivaatimuksen 12 mukainen menetelmä, tunnettu siitä, että avaintenvaihtoprotokolla on IKE jos NAT laite tukee UDP-protokollaa.
15. Patenttivaatimuksen 14 mukainen menetelmä, tunnettu siitä, että IPSec SA:n muodostamiseksi käytetään avaintenvaihtomekanismia, jossa käytetään useita 25 läpäisymekanismeja samanaikaisesti sen mahdollisuuden suurentamiseksi, että ;. ainakin jokin niistä läpäisee NAT-laitteen. * · · * · I
16. Patenttivaatimuksen 12 mukainen menetelmä, tunnettu siitä, että IPSec SA:n • · · muodostamiseksi suoritetaan avaintenvaihtomekanismi, jossa käytetään • ·’: 30 neuvotteluprosessia sopimiseksi protokollista käytettäväksi tulevassa viestinnässä. • · · • 17.Patenttivaatimuksen 12 mukainen menetelmä, tunnettu siitä, että IPSec SA:n * *» « muodostamiseksi käytetään tavallisinta kapselointiprotokollaa : ·avaintenvaihtomekanismissa. » »» : 35 • I 116017 17
18. Jonkin patenttivaatimuksen 1-17 mukainen menetelmä, tunnettu siitä, että toisen päätteen osoite on niiden viestien loppukohdeosoite, jotka lähetetään mobiilipäätteestä, jolloin käytetään kuljetus- tai tunnelimenetelmää IPSec viestinnässä. ίο 19. Jonkin patenttivaatimuksen 1 - 17 mukainen menetelmä, tunnettu siitä että viestin kohdeosoite on se verkkoaseman osoite, joka ei ole toinen pääte, jossa tapauksessa käytetään tunnelimenetelmää tai kuljetusmenetelmää yhdessä tunnelointiprotokollan kanssa IPSec viestinnässä.
20. Jonkin patenttivaatimuksen 1 - 7, 9 - 19 mukainen menetelmä, tunnettu siitä että lähetetään useita vaiheen c) pyyntöviestejä, jolloin jokaista käsitellään käyttämällä erilaista läpäisymekanismia, jonka jälkeen toinen pääte osoittaa vastauksessa mitä menetelmiä on käytettävä tulevassa viestinnässä. • · • · • · « > · • · • I I I lii » · * I · » · I i · III I · I * t I I I • I f » I I 1(1 · > > · I I t * * 18 116017
5 PATENTKRAV
FI20020113A 2002-01-22 2002-01-22 Menetelmä viestien lähettämiseksi turvallisten mobiiliviestintäyhteyksien läpi FI116017B (fi)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FI20020113A FI116017B (fi) 2002-01-22 2002-01-22 Menetelmä viestien lähettämiseksi turvallisten mobiiliviestintäyhteyksien läpi
PCT/FI2003/000046 WO2003063444A1 (en) 2002-01-22 2003-01-21 Method for sending messages over secure mobile communication links
US10/500,928 US7346926B2 (en) 2002-01-22 2003-01-21 Method for sending messages over secure mobile communication links

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20020113 2002-01-22
FI20020113A FI116017B (fi) 2002-01-22 2002-01-22 Menetelmä viestien lähettämiseksi turvallisten mobiiliviestintäyhteyksien läpi

Publications (3)

Publication Number Publication Date
FI20020113A0 FI20020113A0 (fi) 2002-01-22
FI20020113A FI20020113A (fi) 2003-07-23
FI116017B true FI116017B (fi) 2005-08-31

Family

ID=8562865

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20020113A FI116017B (fi) 2002-01-22 2002-01-22 Menetelmä viestien lähettämiseksi turvallisten mobiiliviestintäyhteyksien läpi

Country Status (3)

Country Link
US (1) US7346926B2 (fi)
FI (1) FI116017B (fi)
WO (1) WO2003063444A1 (fi)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8996698B1 (en) * 2000-11-03 2015-03-31 Truphone Limited Cooperative network for mobile internet access
US20030204741A1 (en) * 2002-04-26 2003-10-30 Isadore Schoen Secure PKI proxy and method for instant messaging clients
WO2004063843A2 (en) 2003-01-15 2004-07-29 Matsushita Electric Industrial Co., Ltd. PEER-TO-PEER (P2P) CONNECTION DESPITE NETWORK ADDRESS TRANSLATOR (NATs) AT BOTH ENDS
US7899932B2 (en) 2003-01-15 2011-03-01 Panasonic Corporation Relayed network address translator (NAT) traversal
CA2552481C (en) 2004-01-09 2016-08-02 Npx Technologies Ltd. Detecting relayed communications
US8151348B1 (en) * 2004-06-30 2012-04-03 Cisco Technology, Inc. Automatic detection of reverse tunnels
CN1838590B (zh) * 2005-03-21 2011-01-19 松下电器产业株式会社 在会话起始协议信号过程提供因特网密钥交换的方法及***
IES20050439A2 (en) * 2005-06-30 2006-08-09 Asavie R & D Ltd A method of network communication
US8059641B1 (en) * 2006-07-20 2011-11-15 Avaya Inc. Encapsulation method discovery protocol for network address translation gateway traversal
US20090016246A1 (en) * 2007-07-12 2009-01-15 Motorola, Inc. Method and apparatus for data transmission in an unlicensed mobile access network
US8761170B2 (en) * 2010-10-07 2014-06-24 Panasonic Corporation Communication device, communication method, integrated circuit, and program
US9628542B2 (en) * 2012-08-24 2017-04-18 Akamai Technologies, Inc. Hybrid HTTP and UDP content delivery
TWI527407B (zh) * 2014-03-18 2016-03-21 國立交通大學 會談感知的網路位址轉換穿透方法
US10051000B2 (en) * 2015-07-28 2018-08-14 Citrix Systems, Inc. Efficient use of IPsec tunnels in multi-path environment
CN112073963A (zh) * 2020-09-16 2020-12-11 武汉虹旭信息技术有限责任公司 通信交互数据传输方法及装置
CN113542395B (zh) * 2021-07-13 2022-07-12 武汉绿色网络信息服务有限责任公司 报文处理方法和报文处理***
CN114465755B (zh) * 2021-12-15 2024-02-23 广西电网有限责任公司电力科学研究院 基于IPSec传输异常的检测方法、装置及存储介质

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7136645B2 (en) * 1998-10-09 2006-11-14 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US6507908B1 (en) * 1999-03-04 2003-01-14 Sun Microsystems, Inc. Secure communication with mobile hosts
WO2000056034A1 (en) * 1999-03-17 2000-09-21 3Com Corporation Method and system for distributed network address translation with network security features
US6970459B1 (en) * 1999-05-13 2005-11-29 Intermec Ip Corp. Mobile virtual network system and method
US7882247B2 (en) * 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
JP2004524724A (ja) * 2000-11-13 2004-08-12 エクテル・インコーポレーテッド 信頼性の高いネットワーク上の移動性を向上するシステムと方法
SE0004338L (sv) * 2000-11-24 2002-05-25 Columbitech Ab Datanätbaserat system
US20020136226A1 (en) * 2001-03-26 2002-09-26 Bluesocket, Inc. Methods and systems for enabling seamless roaming of mobile devices among wireless networks
US7483411B2 (en) * 2001-06-04 2009-01-27 Nec Corporation Apparatus for public access mobility LAN and method of operation thereof
US7171460B2 (en) * 2001-08-07 2007-01-30 Tatara Systems, Inc. Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks
GB0123057D0 (en) * 2001-09-25 2001-11-14 Red M Communications Ltd Virtual wireless network services

Also Published As

Publication number Publication date
FI20020113A0 (fi) 2002-01-22
WO2003063444A1 (en) 2003-07-31
US20050216725A1 (en) 2005-09-29
FI20020113A (fi) 2003-07-23
US7346926B2 (en) 2008-03-18

Similar Documents

Publication Publication Date Title
FI116017B (fi) Menetelmä viestien lähettämiseksi turvallisten mobiiliviestintäyhteyksien läpi
US11283772B2 (en) Method and system for sending a message through a secure connection
US20020042875A1 (en) Method and apparatus for end-to-end secure data communication
JP3793083B2 (ja) トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置
FI116025B (fi) Menetelmä ja verkko viestien turvallisen lähettämisen varmistamiseksi
JP4634687B2 (ja) ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ
CA2315722C (en) A method for packet authentication in the presence of network address translations and protocol conversions
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
US7716369B2 (en) Data transmission system with a mechanism enabling any application to run transparently over a network address translation device
US8601567B2 (en) Firewall for tunneled IPv6 traffic
WO2003090041A2 (en) Method to provide dynamic internet protocol security policy services
WO2006099803A1 (fr) Procédé de mise en œuvre pour la traversee du pare-feu par le message ipv6 mobile et pare-feu
JP5151197B2 (ja) 通信システム、パケット転送処理装置及びそれらに用いる通信セッション制御方法
Phelan et al. DCCP-UDP: A Datagram Congestion Control Protocol UDP Encapsulation for NAT Traversal
CN116939033A (zh) 一种应用代理方法、装置及电子设备和存储介质
JP2006352710A (ja) パケット中継装置及びプログラム
Schinazi et al. RFC 9484: Proxying IP in HTTP
FI113597B (fi) Menetelmä viestien lähettämiseksi usean yhteyden läpi
Phelan et al. RFC 6773: DCCP-UDP: A Datagram Congestion Control Protocol UDP Encapsulation for NAT Traversal

Legal Events

Date Code Title Description
PC Transfer of assignment of patent

Owner name: NETSEAL MOBILITY TECHNOLOGIES - NMT OY

Free format text: NETSEAL MOBILITY TECHNOLOGIES - NMT OY

FG Patent granted

Ref document number: 116017

Country of ref document: FI

PC Transfer of assignment of patent

Owner name: MOBILITY PATENT HOLDING MPH OY

Free format text: MOBILITY PATENT HOLDING MPH OY

PC Transfer of assignment of patent

Owner name: MPH TECHNOLOGIES OY

Free format text: MPH TECHNOLOGIES OY

MA Patent expired