BRPI0607516A2 - impedir fontes duplicadas de clientes servidos por um tradutor de porta de endereço de rede - Google Patents
impedir fontes duplicadas de clientes servidos por um tradutor de porta de endereço de rede Download PDFInfo
- Publication number
- BRPI0607516A2 BRPI0607516A2 BRPI0607516-9A BRPI0607516A BRPI0607516A2 BR PI0607516 A2 BRPI0607516 A2 BR PI0607516A2 BR PI0607516 A BRPI0607516 A BR PI0607516A BR PI0607516 A2 BRPI0607516 A2 BR PI0607516A2
- Authority
- BR
- Brazil
- Prior art keywords
- port
- source
- port number
- connection
- packet
- Prior art date
Links
- 238000000034 method Methods 0.000 claims description 13
- 238000013507 mapping Methods 0.000 abstract 1
- 238000004891 communication Methods 0.000 description 8
- 230000003068 static effect Effects 0.000 description 4
- 238000011330 nucleic acid test Methods 0.000 description 3
- 238000005538 encapsulation Methods 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5046—Resolving address allocation conflicts; Testing of addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/663—Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
IMPEDIR FONTES DUPLICADAS DE CLIENTES SERVIDOS POR UM TRADUTOR DE PORTA DE ENDEREçO DE REDE. Impedir fontes duplicadas em uma conexão de protocolo que usa endereços de rede, protocolos e números de portas para identificar conexões que incluem tradução de número de porta. Em resposta a um pacote ínbound de IPsec de um cliente fonte remoto, uma determinação é feita quanto a se um número de porta está disponível dentro de um intervalo de números de porta que obedecem a uma associação de segurança que governa a conexão. Se sim, o número de porta disponível é atribuído à. conexão, evitando, desse modo, uma possibilidade de uma fonte duplicada. Se um número de porta não estiver disponível, o pacote é rejeitado.
Description
Relatório Descritivo da Patente de Invenção para: "IMPEDIR FONTES DUPLICADAS DE CLIENTES SERVIDOS POR UM TRADUTOR DE PORTA DE ENDEREÇO DE REDE".
Campo técnico
A invenção relaciona-se, de modo geral, ao trabalho em rede da Internet e especificamente ao endereçamento de conflitos causados pelo endereço de rede e pela tradução de porta.
Antecedentes da Invenção
Os problemas e as soluções são descritos aqui em termos da Internet e dos protocolos TCP/IP que dão forma â base de comunicações da Internet. Entretanto, a invenção pode ser aplicada a outros protocolos de comunicação também, dependendo das especificações dos protocolos.
A tradução do endereço de rede da Internet é usada por diversas razões. A razão principal é economizar no uso de endereços públicos. O endereço do Protocolo de Internet (IP) de um tradutor de endereço de rede (NAT) é geralmente um endereço público. Isto é, o endereço IP do NAT é conhecido pelo mundo exterior, quando todos os servidores ou clientes atrás do NAT são endereços confidenciais, desconhecidos ao mundo exterior. Em tal caso, o mundo exterior comunica-se com o NAT e o NAT controla as comunicações com os servidores apropriados e os clientes atrás do mesmo. Isto significa que os endereços de IP dos dispositivos atrás do NAT somente têm que ser únicos dentro daquela família, mas podem ser duplicatas de outros endereços de IP no restante do mundo. NATs envolve somente a tradução de endereços de IP. Há um tipo adicional de tradução conhecido como a tradução de porta de endereço de rede (NAPT) em que ambos os endereços de IP e os números de porta são traduzidos. Os padrões para a tradução de endereço de rede (NAT) e a tradução de porta de endereço de rede (NAPT) são determinados no Internet Engeneering Task Force (IETF) RFC 3 022, intitulado: nTraditional IP Network Address TransIation".
A Internet original não foi projetada com segurança como um fator primário. De fato, a Internet foi propositadamente feita relativamente aberta como um auxílio para a comunicação científica e educacional. Entretanto, o advento da web e de seus usos comerciais aumentou a necessidade de comunicações de Internet seguras. O protocolo da segurança da Internet, conhecido geralmente como IPsec, foi definido para endereçar estes assuntos. Por exemplo, o IPsec fornece autenticação de dispositivos de rede e/ou para a criptografação de dados transmitidos. Uma comunicação de IPsec entre a fonte e os endereços de destino é administrada de acordo com uma associação da segurança (SA), uma AS é uma ou mais regras que definem o processamento do IPsec que é aplicado à comunicação. O IPsec é definido no RFC 2401 e em outros RFCs. Se um pacote é negado, permitido sem processamento do IPsec ou permitido com processamento do IPsec é determinado pela combinação dos atributos de um pacote com as regras de segurança em uma base de dados de política de segurança (SPD). Para fazer esta determinação, a técnica conhecida busca regras estáticas e dinâmicas na ordem do atributo mais específico para o menos específico para pacotes de entrada e saída. Um conjunto de regras estáticas é essencialmente uma política de segurança. As regras estáticas são pré-definidas e geralmente não mudam muito freqüentemente. As regras dinâmicas são regras que são negociadas entre nós durante processamento de IKE (Internet Key Exchange - comutação de chave da Internet) conforme necessário e adicionadas à base de dados da política de segurança em uma forma dinâmica como necessário. A patente norte-americana US 6,347,376 da International Business Machines descreve um método preferido de buscar regras estáticas e dinâmicas de um SPD. Esta patente é incorporada aqui por referência em sua totalidade.
Há incompatibilidades inerentes entre a tradução da porta ou endereço de rede e processamento de IPsec. Estas incompatibilidades são uma barreira à distribuição de IPsec. O RFC 3715 reconhece e discute algumas destas incompatibilidades, mas não oferece nenhuma solução geral. Por exemplo, a seção 4.1 de RFC 3715 refere-se a uma solução limitada proposta no RFC 3456, nDynamic Host Configuration Protocol (DHCPv4, Configuration of IPsec Tunnel Mode") , mas indica que uma solução mais geral é necessária. Além disso, a seção 5 do RFC 3948 intitulada nUDP Encapsulation of IPsec Packets" do grupo de trabalho de IPsec do IETF dirige-se também a alguns dos problemas de incompatibilidade. Particularmente, a seção 5.2 do RFC descreve brevemente um problema na determinação de que associações de segurança do IPsec a serem usadas em conexões com clientes servidos por um NAT. Esta seção descreve também um outro problema ao permitir uma conexão de texto livre com um cliente atrás de um NAPT quando o NAPT trata também o tráfego de IPsec.
Assim, há uma necessidade para endereçar o problema de evitar fontes duplicadas quando os clientes são servidos por um NAPT. Nenhuma solução é fornecida para este problema por nenhum dos documentos de RFC do IETF relacionados. Para os propósitos desta especificação, as fontes duplicadas são definidas como os pacotes que têm o mesmo endereço da fonte (por exemplo, um endereço de IP de um NAPT atribuído a um pacote original encapsulado de IPsec), o mesmo protocolo de transporte e o mesmo número de porta fonte original (isto é, um número de porta no cabeçalho de transporte do pacote encapsulado do IPsec).
As fontes duplicadas resultam nas conexões duplicadas que destroem a integridade da rede. Por exemplo, os pacotes podem ser enviados ao destino errado.
O RFC 3 947, intitulado: nNegotiation of NAT- Transversal in the IKE", descreve o que é necessário nas fases 1 e 2 do IKE (comutação de chave da Internet) para o suporte transversal do NAT. Isto inclui detectar se ambas as extremidades em uma comunicação do pacote suportam rota transversal do NAT, e detectar se houver um ou mais NATs ao longo do trajeto de host a host. Também cobre como negociar o uso de pacotes de IPsec encapsulados de protocolo UDP na modalidade rápida da IKE e descreve como transmitir um endereço de IP original fonte para a outra extremidade, se necessário. O UDP é definido no RFC 768. O RFC 3948, nUDP Encapsulation of IPsec ESP Packetsn, define métodos para encapsular e desencapsular pacotes de ESP (Encapsulating Security Payload) dentro dos pacotes de UDP com a finalidade de atravessar NATs. O ESP é definido no RFC 2406. O ESP é projetado para fornecer uma mistura de serviços de segurança em IPv4 e em IPv6.
Claims (24)
1. Método para impedir conflitos de fonte duplicada em um protocolo de rede que usa endereços de rede, protocolos e os números de porta para identificar conexões caracterizado pelo fato de que compreende em resposta a um pacote inbound em uma conexão em um host de destino de um cliente fonte remoto, determinar se um número de porta está disponível dentro de um intervalo de números de porta que obedecem a uma associação de segurança que governa a conexão, atribuir um número de porta disponível ã conexão, evitando, desse modo, uma possibilidade de uma fonte duplicada, e rejeitar o pacote se nenhum número de porta estiver disponível dentro do intervalo de números de porta que governam a conexão.
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende manter uma lista de números de porta atribuíveis para cada cliente fonte remoto e os estados atribuídos e não atribuídos de cada número de porta na lista.
3. Método, de acordo com a reivindicação 2, caracterizado pelo fato de que cada lista de números de porta atribuível é um vetor de bits, em que as posições dos bits identificam os números de porta e os estados dos bits descreve os estados atribuídos e não atribuídos dos números de porta.
4. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende manter uma tabela de tradução de porta fonte que associa cada conexão do lado do cliente com um número de porta traduzido.
5. Método, de acordo com a reivindicação 4, caracterizado pelo fato de que a tabela da tradução da porta fonte contém as entradas de porta fonte e as entradas de porta fonte traduzidas, em que cada entrada de porta fonte é associada unicamente com uma entrada de porta fonte traduzida e cada entrada de porta fonte contém um endereço de fonte da Internet, um número de porta fonte do UDP atribuído por um NAPT, um número de porta fonte cliente e um identificador do protocolo do cliente, e cada entrada de porta fonte traduzida contém um endereço da fonte da Internet, um número de porta fonte do cliente traduzido e um identificador do protocolo do cliente, em que as entradas de porta fonte são buscadas em pacotes entrantes para identificar um número de porta atribuído previamente a uma conexão remota do cliente, e entradas de porta fonte traduzidas são buscadas em pacotes que saem para identificar um número de porta de cliente de um número de porta traduzido previamente atribuído.
6. Método para impedir fontes duplicadas em um protocolo de rede que usa endereços de rede, protocolos e números de porta para identificar as conexões, caracterizado pelo fato de que compreende: a) receber um pacote em um servidor, b) determinar se o pacote foi traduzido por um tradutor de porta de endereço de rede e contém um pacote cifrado encapsulado, c) se o pacote foi traduzido e contém um pacote cifrado encapsulado, descriptografar o pacote encapsulado para obter a informação original da conexão, d) determinar se um número de porta está disponível dentro de um intervalo de números de porta que obedece a uma associação de segurança que governa a conexão, e) atribuir um número de porta disponível à conexão, evitando, desse modo, uma possibilidade de uma fonte duplicada, e f) rejeitar o pacote se nenhum número de porta estiver disponível dentro do intervalo de números de porta que governam a conexão.
7. Método, de acordo com a reivindicação 6, caracterizado pelo fato de que compreende manter uma lista de números de porta atribuível para cada conexão e os estados atribuídos e não atribuídos de cada número de porta na lista.
8. Método, de acordo com a reivindicação 7, caracterizado pelo fato de que cada lista de números de porta atribuível é um vetor de bit, em que as posições dos bit identificam os números de porta e os estados dos bits descrevem os estados atribuídos e não atribuídos dos números de porta.
9. Aparelho para impedir conflitos de fonte duplicada em um protocolo de rede que usa endereços de rede, protocolos e números de porta para identificar conexões, caracterizado pelo fato de que compreende: meio responsivo para um pacote inbound em uma conexão em um host de destino de um cliente fonte remoto para determinar se um número de porta está disponível dentro de um intervalo de números de porta que obedecem a uma associação de segurança que governa a conexão, meio para atribuir um número de porta disponível à conexão, evitando, desse modo, uma possibilidade de uma fonte duplicada, e meio para rejeitar o pacote se nenhum número de porta estiver disponível dentro do intervalo de números de porta que governam a conexão.
10. Aparelho, de acordo com a reivindicação 9, caracterizado pelo fato de que compreende ainda meio para manter uma lista de números de porta atribuíveis para cada cliente fonte remoto e os estados atribuídos e não atribuídos de cada número de porta na lista.
11. Aparelho, de acordo com a reivindicação 10, caracterizado pelo fato de que cada lista de números de porta atribuível é um vetor de bits, em que as posições dos bits identificam os números de porta e os estados dos bits descreve os estados atribuídos e não atribuídos dos números de porta.
12. Aparelho, de acordo com a reivindicação 9, caracterizado pelo fato de que compreende meio para manter uma tabela de tradução de porta fonte que associa cada conexão do lado do cliente com um número de porta traduzido.
13. Aparelho, de acordo com a reivindicação 12, caracterizado pelo fato de que a tabela da tradução da porta fonte contém as entradas de porta fonte e as entradas de porta fonte traduzidas, em que cada entrada de porta fonte é associada unicamente com uma entrada de porta fonte traduzida e cada entrada de porta fonte contém um endereço de fonte da Internet, um número de porta fonte do UDP atribuído por um NAPT, um número de porta fonte cliente e um identificador do protocolo do cliente, e cada entrada de porta fonte traduzida contém um endereço da fonte da Internet, um número de porta fonte do cliente traduzido e um identificador do protocolo do cliente, em que o aparelho ainda compreende meios para buscar entradas de porta fonte em pacotes entrantes para identificar um número de porta atribuído previamente a uma conexão remota do cliente, e meios para buscar entradas de porta fonte traduzidas em pacotes que saem para identificar um número de porta de cliente de um número de porta traduzido previamente atribuído.
14. Aparelho para impedir fontes duplicadas em um protocolo de rede que usa endereços de rede, protocolos e números de porta para identificar as conexões, caracterizado pelo fato de que compreende: a) meio para receber um pacote em um servidor, b) meio para determinar se o pacote foi traduzido por um tradutor de porta de endereço de rede e contém um pacote cifrado encapsulado, c) meio para descriptografar o pacote encapsulado para obter a informação original da conexão, d) meio para determinar se um número de porta está disponível dentro de um intervalo de números de porta que obedece a uma associação de segurança que governa a conexão, e) meio para atribuir um número de porta disponível à conexão, evitando, desse modo, uma possibilidade de uma fonte duplicada, e f) meio para rejeitar o pacote se nenhum número de porta estiver disponível dentro do intervalo de números de porta que governam a conexão.
15. Aparelho, de acordo com a reivindicação 14, caracterizado pelo fato de que compreende meio para manter uma lista de números de porta atribuível para cada conexão e os estados atribuídos e não atribuídos de cada número de porta na lista.
16. Aparelho, de acordo com a reivindicação 15, caracterizado pelo fato de que cada lista de números de porta atribuível é um vetor de bit, em que as posições dos bit identificam os números de porta e os estados dos bits descrevem os estados atribuídos e não atribuídos dos números de porta.
17. Mídia de armazenamento para armazenamento de instruções de programa que quando carregado em um computador faz com que o mesmo execute um método para impedir conflitos de fonte duplicada em um protocolo de rede que usa endereços de rede, protocolos e números de porta para identificar conexões, a mídia as caracterizada pelo fato de que compreende: instruções responsiva para um pacote inbound em uma conexão em um host de destino de um cliente fonte remoto para determinar se um número de porta está disponível dentro de um intervalo de números de porta que obedecem a uma associação de segurança que governa a conexão, instruções para atribuir um número de porta disponível à conexão, evitando, desse modo, uma possibilidade de uma fonte duplicada, e instruções para rejeitar o pacote se nenhum número de porta estiver disponível dentro do intervalo de números de porta que governam a conexão.
18. Mídia, de acordo com a reivindicação 17, caracterizada pelo fato de que compreende ainda instruções para manter uma lista de números de porta atribuíveis para cada cliente fonte remoto e os estados atribuídos e não atribuídos de cada número de porta na lista.
19. Mídia, de acordo com a reivindicação 18, caracterizada pelo fato de que cada lista de números de porta atribuível é um vetor de bits, em que as posições dos bits identificam os números de porta e os estados dos bits descreve os estados atribuídos e não atribuídos dos números de porta.
20. Mídia, de acordo com a reivindicação 17, caracterizada pelo fato de que compreende instruções para manter uma tabela de tradução de porta fonte que associa cada conexão do lado do cliente com um número de porta traduzido.
21. Mídia, de acordo com a reivindicação 20, caracterizada pelo fato de que a tabela da tradução da porta fonte contém as entradas de porta fonte e as entradas de porta fonte traduzidas, em que cada entrada de porta fonte é associada unicamente com uma entrada de porta fonte traduzida e cada entrada de porta fonte contém um endereço de fonte da Internet, um número de porta fonte do UDP atribuído por um NAPT, um número de porta fonte cliente e um identificador do protocolo do cliente, e cada entrada de porta fonte traduzida contém um endereço da fonte da Internet, um número de porta fonte do cliente traduzido e um identificador do protocolo do cliente, em que o aparelho ainda compreende meios para buscar entradas de porta fonte em pacotes entrantes para identificar um número de porta atribuído previamente a uma conexão remota do cliente, e meios para buscar entradas de porta fonte traduzidas em pacotes que saem para identificar um número de porta de cliente de um número de porta traduzido previamente atribuído.
22. Mídia de armazenamento para armazenamento de instruções de programa que quando carregado em um computador faz com que o mesmo execute um método para impedir fontes duplicadas em um protocolo de rede que usa endereços de rede, protocolos e números de porta para identificar as conexões, caracterizada pelo fato de que compreende: a) instruções para receber um pacote em um servidor, b) instruções para determinar se o pacote foi traduzido por um tradutor de porta de endereço de rede e contém um pacote cifrado encapsulado, c) instruções para descriptografar o pacote encapsulado para obter a informação original da conexão, d) instruções para determinar se um número de porta está disponível dentro de um intervalo de números de porta que obedece a uma associação de segurança que governa a conexão, e) instruções para atribuir um número de porta disponível à conexão, evitando, desse modo, uma possibilidade de uma fonte duplicada, e f) instruções para rejeitar o pacote se nenhum número de porta estiver disponível dentro do intervalo de números de porta que governam a conexão.
23. Mídia, de acordo com a reivindicação 22, caracterizada pelo fato de que compreende instruções para manter uma lista de números de porta atribuível para cada conexão e os estados atribuídos e não atribuídos de cada número de porta na lista.
24. Mídia, de acordo com a reivindicação 23, caracterizado pelo fato de que cada lista de números de porta atribuível é um vetor de bit, em que as posições dos bit identificam os números de porta e os estados dos bits descrevem os estados atribuídos e não atribuídos dos números de porta.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/907,659 US8787393B2 (en) | 2005-04-11 | 2005-04-11 | Preventing duplicate sources from clients served by a network address port translator |
| US10/907,659 | 2005-04-11 | ||
| PCT/EP2006/061443 WO2006108808A1 (en) | 2005-04-11 | 2006-04-07 | Preventing duplicate sources from clients served by a network address port translator |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| BRPI0607516A2 true BRPI0607516A2 (pt) | 2012-01-17 |
| BRPI0607516B1 BRPI0607516B1 (pt) | 2020-06-02 |
Family
ID=36645677
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BRPI0607516-9A BRPI0607516B1 (pt) | 2005-04-11 | 2006-04-07 | Método para impedir fontes duplicadas em um protocolo de rede |
Country Status (10)
| Country | Link |
|---|---|
| US (2) | US8787393B2 (pt) |
| EP (1) | EP1872562B1 (pt) |
| JP (1) | JP4482601B2 (pt) |
| CN (1) | CN101133625B (pt) |
| AT (1) | ATE460039T1 (pt) |
| BR (1) | BRPI0607516B1 (pt) |
| CA (1) | CA2602789C (pt) |
| DE (1) | DE602006012644D1 (pt) |
| TW (1) | TWI380650B (pt) |
| WO (1) | WO2006108808A1 (pt) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7852961B2 (en) * | 2004-05-20 | 2010-12-14 | Samsung Electronics Co., Ltd. | Digital broadcasting transmission/reception devices capable of improving a receiving performance and signal processing method thereof |
| US8787393B2 (en) | 2005-04-11 | 2014-07-22 | International Business Machines Corporation | Preventing duplicate sources from clients served by a network address port translator |
| US7962652B2 (en) | 2006-02-14 | 2011-06-14 | International Business Machines Corporation | Detecting network topology when negotiating IPsec security associations that involve network address translation |
| JP2009111437A (ja) * | 2007-10-26 | 2009-05-21 | Hitachi Ltd | ネットワークシステム |
| US8108514B2 (en) | 2008-04-02 | 2012-01-31 | International Business Machines Corporation | High availability of internet protocol addresses within a cluster |
| CN101674606A (zh) * | 2009-09-25 | 2010-03-17 | 华为技术有限公司 | 数据传输方法及装置 |
| GB2474843B (en) * | 2009-10-27 | 2012-04-25 | Motorola Solutions Inc | Method for providing security associations for encrypted packet data |
| US8806033B1 (en) * | 2011-06-30 | 2014-08-12 | Juniper Networks, Inc. | Effective network identity pairing |
| US8775614B2 (en) | 2011-09-12 | 2014-07-08 | Microsoft Corporation | Monitoring remote access to an enterprise network |
| CN103139189B (zh) * | 2011-12-05 | 2017-03-22 | 京信通信系统(中国)有限公司 | 一种IPSec隧道共用方法、系统及设备 |
| US9800503B2 (en) * | 2012-12-03 | 2017-10-24 | Aruba Networks, Inc. | Control plane protection for various tables using storm prevention entries |
| CN105515990A (zh) * | 2014-09-23 | 2016-04-20 | 中国电信股份有限公司 | 基于二维信息进行寻路的方法和接入网关 |
| CN106899474B (zh) * | 2016-12-07 | 2020-06-09 | 新华三技术有限公司 | 一种报文转发的方法和装置 |
| FR3072233B1 (fr) | 2017-10-10 | 2020-11-27 | Bull Sas | Procede de generation de requetes pour la segmentation de la surveillance d'un reseau d'interconnexion et materiel associe |
| US11526499B2 (en) | 2019-02-18 | 2022-12-13 | International Business Machines Corporation | Adaptively updating databases of publish and subscribe systems using optimistic updates |
| US11381665B2 (en) | 2019-02-18 | 2022-07-05 | International Business Machines Corporation | Tracking client sessions in publish and subscribe systems using a shared repository |
| CN112242943B (zh) * | 2020-11-26 | 2022-08-16 | 迈普通信技术股份有限公司 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
| US11778071B2 (en) * | 2021-01-26 | 2023-10-03 | Avago Technologies International Sales Pte. Limited | Systems and methods for converting between a lossy communication protocol and a lossless communication protocol |
| US11765238B1 (en) * | 2022-06-21 | 2023-09-19 | Juniper Networks, Inc. | Non-translated port oversubscribing for a proxy device |
Family Cites Families (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5758084A (en) * | 1995-02-27 | 1998-05-26 | Hewlett-Packard Company | Apparatus for parallel client/server communication having data structures which stored values indicative of connection state and advancing the connection state of established connections |
| US5822540A (en) * | 1995-07-19 | 1998-10-13 | Fujitsu Network Communications, Inc. | Method and apparatus for discarding frames in a communications device |
| US6560220B2 (en) * | 1997-06-20 | 2003-05-06 | Telefonaktiebolaget L M Ericsson (Publ) | Network access device and telecommunications signaling |
| US6138144A (en) * | 1997-06-24 | 2000-10-24 | At&T Corp. | Method for managing multicast addresses for transmitting and receiving multimedia conferencing information on an internet protocol (IP) network implemented over an ATM network |
| US6615357B1 (en) * | 1999-01-29 | 2003-09-02 | International Business Machines Corporation | System and method for network address translation integration with IP security |
| US6347376B1 (en) | 1999-08-12 | 2002-02-12 | International Business Machines Corp. | Security rule database searching in a network security environment |
| DE60018723T2 (de) * | 2000-06-26 | 2006-05-11 | Alcatel | Adressierungsschema für ein IP basiertes funkzugriffsnetz |
| US7120697B2 (en) * | 2001-05-22 | 2006-10-10 | International Business Machines Corporation | Methods, systems and computer program products for port assignments of multiple application instances using the same source IP address |
| JP2002232450A (ja) * | 2001-01-31 | 2002-08-16 | Furukawa Electric Co Ltd:The | ネットワーク中継装置、データ通信システム、データ通信方法およびその方法をコンピュータに実行させるプログラム |
| WO2002073923A2 (en) * | 2001-02-20 | 2002-09-19 | Innomedia Pte Ltd. | Device and system for sending datagrams in a real time streaming media communication system |
| KR20030011080A (ko) * | 2001-03-16 | 2003-02-06 | 마쯔시다덴기산교 가부시키가이샤 | 방화벽 설정 방법 및 장치 |
| US20020144024A1 (en) * | 2001-03-30 | 2002-10-03 | Kumpf David A. | Method and system for assigning peripheral devices to logical ports of a network peripheral server |
| US7684317B2 (en) * | 2001-06-14 | 2010-03-23 | Nortel Networks Limited | Protecting a network from unauthorized access |
| DE60223451T2 (de) * | 2001-06-14 | 2008-11-27 | Hitachi, Ltd. | System zur Quittierung von Datenpaketen |
| US6898652B2 (en) * | 2001-08-22 | 2005-05-24 | General Atomics | Wireless device attachment and detachment system, apparatus and method |
| US7747758B2 (en) * | 2001-10-29 | 2010-06-29 | International Business Machines Corporation | Dynamic port assignment |
| US20030140089A1 (en) * | 2001-11-01 | 2003-07-24 | Hines Kenneth J. | Inter-applet communication using an applet agent |
| US20030154306A1 (en) * | 2002-02-11 | 2003-08-14 | Perry Stephen Hastings | System and method to proxy inbound connections to privately addressed hosts |
| JP3819804B2 (ja) * | 2002-05-09 | 2006-09-13 | 日本電信電話株式会社 | Ipネットワーク接続機能を備えたネットワークインターフェイスを用いる通信方式およびその装置 |
| US7143137B2 (en) * | 2002-06-13 | 2006-11-28 | Nvidia Corporation | Method and apparatus for security protocol and address translation integration |
| US7339889B2 (en) * | 2002-06-20 | 2008-03-04 | Nortel Networks Limited | Control plane architecture for automatically switched optical network |
| KR100479261B1 (ko) * | 2002-10-12 | 2005-03-31 | 한국전자통신연구원 | 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치 |
| US7346770B2 (en) | 2002-10-31 | 2008-03-18 | Microsoft Corporation | Method and apparatus for traversing a translation device with a security protocol |
| US7386881B2 (en) * | 2003-01-21 | 2008-06-10 | Swander Brian D | Method for mapping security associations to clients operating behind a network address translation device |
| US20040193677A1 (en) * | 2003-03-24 | 2004-09-30 | Shaul Dar | Network service architecture |
| JP4352748B2 (ja) * | 2003-04-21 | 2009-10-28 | パナソニック株式会社 | 中継装置 |
| US7633948B2 (en) * | 2003-07-07 | 2009-12-15 | Panasonic Corporation | Relay device and server, and port forward setting method |
| US7283517B2 (en) * | 2003-07-22 | 2007-10-16 | Innomedia Pte | Stand alone multi-media terminal adapter with network address translation and port partitioning |
| US7287077B2 (en) * | 2003-08-07 | 2007-10-23 | International Business Machines Corporation | Reservation of TCP/UDP ports using UID, GID or process name |
| CN1317874C (zh) * | 2003-09-27 | 2007-05-23 | 财团法人资讯工业策进会 | 提供虚拟主机服务快速查询置换的网络地址端口转换网关器与方法 |
| US7424025B2 (en) * | 2003-10-01 | 2008-09-09 | Santera Systems, Inc. | Methods and systems for per-session dynamic management of media gateway resources |
| JP3762402B2 (ja) * | 2003-10-07 | 2006-04-05 | キヤノン株式会社 | データ処理装置及び方法 |
| US20050166206A1 (en) * | 2004-01-26 | 2005-07-28 | Parson Dale E. | Resource management in a processor-based system using hardware queues |
| JP4555592B2 (ja) * | 2004-03-31 | 2010-10-06 | 富士通株式会社 | パケット処理システム |
| US20050265252A1 (en) * | 2004-05-27 | 2005-12-01 | International Business Machines Corporation | Enhancing ephemeral port allocation |
| US7366182B2 (en) * | 2004-08-13 | 2008-04-29 | Qualcomm Incorporated | Methods and apparatus for efficient VPN server interface, address allocation, and signaling with a local addressing domain |
| US8787393B2 (en) | 2005-04-11 | 2014-07-22 | International Business Machines Corporation | Preventing duplicate sources from clients served by a network address port translator |
| US7656795B2 (en) | 2005-04-11 | 2010-02-02 | International Business Machines Corporation | Preventing duplicate sources from clients served by a network address port translator |
-
2005
- 2005-04-11 US US10/907,659 patent/US8787393B2/en active Active
-
2006
- 2006-04-07 DE DE602006012644T patent/DE602006012644D1/de active Active
- 2006-04-07 AT AT06743265T patent/ATE460039T1/de not_active IP Right Cessation
- 2006-04-07 BR BRPI0607516-9A patent/BRPI0607516B1/pt active IP Right Grant
- 2006-04-07 EP EP06743265A patent/EP1872562B1/en active Active
- 2006-04-07 JP JP2008505873A patent/JP4482601B2/ja active Active
- 2006-04-07 CA CA2602789A patent/CA2602789C/en active Active
- 2006-04-07 TW TW095112585A patent/TWI380650B/zh active
- 2006-04-07 CN CN2006800071424A patent/CN101133625B/zh active Active
- 2006-04-07 WO PCT/EP2006/061443 patent/WO2006108808A1/en not_active Ceased
-
2014
- 2014-05-06 US US14/270,810 patent/US9253146B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| TWI380650B (en) | 2012-12-21 |
| US8787393B2 (en) | 2014-07-22 |
| CA2602789A1 (en) | 2006-10-19 |
| WO2006108808A1 (en) | 2006-10-19 |
| US9253146B2 (en) | 2016-02-02 |
| EP1872562A1 (en) | 2008-01-02 |
| DE602006012644D1 (de) | 2010-04-15 |
| BRPI0607516B1 (pt) | 2020-06-02 |
| CN101133625B (zh) | 2011-10-12 |
| US20140244862A1 (en) | 2014-08-28 |
| JP2008536418A (ja) | 2008-09-04 |
| JP4482601B2 (ja) | 2010-06-16 |
| ATE460039T1 (de) | 2010-03-15 |
| EP1872562B1 (en) | 2010-03-03 |
| CA2602789C (en) | 2015-10-06 |
| TW200709629A (en) | 2007-03-01 |
| US20060227770A1 (en) | 2006-10-12 |
| CN101133625A (zh) | 2008-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9253146B2 (en) | Preventing duplicate sources from clients served by a network address port translator | |
| US20150304427A1 (en) | Efficient internet protocol security and network address translation | |
| JP4766574B2 (ja) | ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 | |
| US7401354B2 (en) | System and method for network address translation integration with IP Security | |
| US7107614B1 (en) | System and method for network address translation integration with IP security | |
| US7139841B1 (en) | Method and apparatus for handling embedded address in data sent through multiple network address translation (NAT) devices | |
| US7903671B2 (en) | Service for NAT traversal using IPSEC | |
| JP2009111437A (ja) | ネットワークシステム | |
| KR100479261B1 (ko) | 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치 | |
| IES20050439A2 (en) | A method of network communication | |
| Tüxen et al. | UDP encapsulation of Stream Control Transmission Protocol (SCTP) packets for end-host to end-host communication | |
| CN100464540C (zh) | 一种跨网关通信的方法 | |
| US7908481B1 (en) | Routing data to one or more entities in a network | |
| US8019889B1 (en) | Method and apparatus for making end-host network address translation (NAT) global address and port ranges aware | |
| Ahmad et al. | IPSec over heterogeneous IPv4 and IPv6 networks: issues and implementation | |
| JP4769877B2 (ja) | Ipsecセキュリティ・アソシエーションを折衝するときのネットワーク・トポロジの検出 | |
| Penno et al. | Updates to Network Address Translation (NAT) Behavioral Requirements | |
| Penno et al. | RFC 7857: Updates to Network Address Translation (NAT) Behavioral Requirements | |
| Tuexen et al. | RFC 6951: UDP Encapsulation of Stream Control Transmission Protocol (SCTP) Packets for End-Host to End-Host Communication | |
| Demerjian et al. | Network Security using E-DHCP over NAT/IPSEC. | |
| Mikić et al. | Support of NAT traversal in IKEv2 implementation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B06G | Technical and formal requirements: other requirements [chapter 6.7 patent gazette] |
Free format text: APRESENTE O DEPOSITANTE DESENHO DO PEDIDO ADAPTADO AO AN NO 127/98, JA QUE CONSTA NA PUBLICACAO WO 2006/108808 A1 DE 19/10/2006. |
|
| B06G | Technical and formal requirements: other requirements [chapter 6.7 patent gazette] |
Free format text: EM ADITAMENTO A EXIGENCIA PUBLICADA NA REVISTA 1973 DE 28/10/2008, APRESENTE O DEPOSITANTE A TRADUCAO DOS DESENHOS QUE CONSTAM NO PEDIDO. |
|
| B11A | Dismissal acc. art.33 of ipl - examination not requested within 36 months of filing | ||
| B04C | Request for examination: application reinstated [chapter 4.3 patent gazette] | ||
| B06T | Formal requirements before examination [chapter 6.20 patent gazette] | ||
| B06F | Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette] | ||
| B07A | Application suspended after technical examination (opinion) [chapter 7.1 patent gazette] | ||
| B06A | Patent application procedure suspended [chapter 6.1 patent gazette] | ||
| B09A | Decision: intention to grant [chapter 9.1 patent gazette] | ||
| B16A | Patent or certificate of addition of invention granted [chapter 16.1 patent gazette] |
Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 02/06/2020, OBSERVADAS AS CONDICOES LEGAIS. |