[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP3730480B2 - ゲートウェイ装置 - Google Patents

ゲートウェイ装置 Download PDF

Info

Publication number
JP3730480B2
JP3730480B2 JP2000151434A JP2000151434A JP3730480B2 JP 3730480 B2 JP3730480 B2 JP 3730480B2 JP 2000151434 A JP2000151434 A JP 2000151434A JP 2000151434 A JP2000151434 A JP 2000151434A JP 3730480 B2 JP3730480 B2 JP 3730480B2
Authority
JP
Japan
Prior art keywords
information
tcp
terminal device
ipsec
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000151434A
Other languages
English (en)
Other versions
JP2001333110A (ja
Inventor
雅裕 高木
政浩 石山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2000151434A priority Critical patent/JP3730480B2/ja
Priority to US09/862,440 priority patent/US7143282B2/en
Publication of JP2001333110A publication Critical patent/JP2001333110A/ja
Application granted granted Critical
Publication of JP3730480B2 publication Critical patent/JP3730480B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/165Combined use of TCP and UDP protocols; selection criteria therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/06Transport layer protocols, e.g. TCP [Transport Control Protocol] over wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、トランスポート層を利用する通信に介在する中継装置、通信装置、制御装置および通信制御方法におけるゲートウェイ装置に関する。
【0002】
【従来の技術】
近年無線によって音声信号のみならず、データ通信も行う要求が高まっている。TCP(Transmission Control Protocol)は、有線データ通信において信頼性のあるトランスポート層プロトコルとして広く使われているが、このプロトコルをそのまま無線に適用すると以下のような問題が発生する。
【0003】
有線通信におけるTCPパケット損失はネットワークの輻輳を意味するため、TCPはパケット損失を検出するとデータの送出レートを下げて輻輳を回避するように設計されている。パケット損失は、同一シーケンス番号を持つACKが指定された数(通常はオリジナルに加えて3個)以上受信された場合、およびRTTとその偏差から定められるタイマがタイムアウトした場合に検出される。
【0004】
このため無線区間のエラーおよびハンドオフによるTCPパケット損失、乃至はリンク層でのエラー回復に時間がかかった場合も輻輳と解釈されるので、必要以上に輻輳回避を行う結果、スループットが利用できる無線帯域以下に低下する場合が多くなる。また、無線区間のエラーをエンド・エンドでTCPによって再送すると、有線部分の帯域が無駄であるし時間もかかる。また、リンク層がエラー回復をしている場合は同じデータを重複して送ることになる。
【0005】
このような問題を解決するために、有線側端末と無線側端末の間に(多くの場合は無線と有線の境界部分に)、TCPの性能を向上させるためのプロキシー(PEP:Performance Enhancement Proxy)を挿入する方法が提案されている。
【0006】
Split Connectionによる方法は、TCPコネクションをProxy(以下ではTCP-GWと呼ぶ)に於いて、有線側TCPコネクションと無線側TCPコネクションとに分割する方法である。有線端末から無線端末にデータを送信する場合を想定する。
【0007】
TCP-GWは無線端末の代わりに有線端末にACKを返すので、無線のエラーの影響(パケット損失乃至大きな遅延変動)は、有線端末から隠蔽される。TCPデータパケットが失われた場合には、TCP-GWが有線端末の代わりにデータの再送を行う。無線側のTCPは無線用にチューニングしたものであっても良い。例えば、無線側TCPはselective ACKオプション(IETF RFC2018)を使って、高いパケット損失率でも性能が大きく劣化しないようにしたものであっても良い。また、輻輳制御のアルゴリズムを変更して、TCPパケット損失があっても、帯域を絞り過ぎない用にしたものであってもよい。
【0008】
Snoop proxyによる方法は、TCP-GWがTCPコネクションを終端とみなしてしまうので、TCPのエンド・エンドセマンティクス(TCPのACKが送信端末に戻って来た場合には、そのACKのシーケンス番号までは受信端末に到達している)を破るという問題に対応するものである。Snoop proxyは、TCPデータパケットをバッファするが、その時点では送信端末にACKは返さない。本来の受信端末からのACKが帰って来た時点でACKを送信端末に中継し、バッファしていたTCPデータパケットを廃棄する。但し、ACKが重複ACKであり、本来の送信端末からの再送をトリガするものである場合、重複ACKは廃棄して、Snoop proxyがTCPデータパケットの再送を行う。また、Snoop proxyはタイムアウト再送も行う。このようにして、無線エラーの影響の大部分を、送信端末から隠蔽する。
【0009】
一方で、このような無線データ通信は、近隣の誰もが無線信号を傍受可能であり、かつ移動環境で使用する場合が多いため、セキュリティに対する要求も高くなる。
【0010】
インターネットにおけるセキュリティ確保の一方法として、IPSecによるものがある(IETF RFC2401, 2402, および2408など)。セキュリティは様々なレイヤで提供されるが、IPSecはIP層でセキュリティを確保するための方式である。IPSecでは、(1)IPヘッダの経路上で変更されない部分と、(2)IPペイロードに対してデータが経路上で改竄されていないことと、(3)そのデータが本来の送信者によって生成されたこと、を保証する機能がある。このためには、AH(Authentication Header)を、IPヘッダとIPペイロードとの間に挿入しなければならない。また、IPペイロードに対して、秘匿性、改竄のないこと、および送信者による生成を保証する機能もある。このためには、ESP(Encapsulating Security Payload)を用いる。なお、AHとESPを組み合わせて使うこともできる。
【0011】
また、IPSecやMobileIPでは、IPSecやMobileIPの機能を持つゲートウェイ装置やエージェント装置で、本来のパケットを別のパケットに包んで(カプセル化)して、ゲートウェイ装置やエージェント装置、乃至は本来のパケットの目的地である端末まで送信する技術が利用される。本来のパケットがカプセル化された状態で辿る経路をトンネルと表現する。
【0012】
【発明が解決しようとする課題】
以上説明したように、無線網に収容された無線端末装置と有線網に収容された有線端末装置との間で通信を行う際に、TCP-GW乃至Snoop proxyのようなTCPの性能を向上させるための装置とIPSecのようなセキュリティを提供する方法とは、共に無線データ通信環境での要求が高いが、このような装置と方法とを組み合わせて使用する場合には以下に説明するような問題があった。
【0013】
つまり、TCPヘッダはIPSecによって保護されているIPペイロードに含まれるが、TCPの性能を向上させるProxyは、TCPヘッダに含まれる情報を知り、かつ場合によって変更しなければならないことが問題である。また、送信されるデータに改竄のないことを保証すると、TCP-GWが本来の受信端末に代わってACKを送信することはできなくなる。これはTCP-GW自信がACK情報を生成する必要が生じてくるためである。更に送信されるデータに秘匿性を要求すると、TCP-GW乃至Snoop ProxyはTCPヘッダの情報が読み取れないので、有効な動作が不可能になる。
【0014】
また、IPSecやMobileIPなどで利用される「トンネル」の途中にProxy装置がある場合、このproxy装置は有効に機能しない。なぜなら、例えばTCP-GWがカプセル化されたパケットを処理するべきか否かのフィルタにかけるために、カプセル化しているパケットのヘッダを調べても、そのヘッダはペイロードがTCPパケットであることを表示していないからである。
【0015】
そこで、本発明は上記従来の問題点に鑑みてなされたもので、TCP-GWやSnoopに代表されるProxy装置と、IPSecに代表されるセキュリティプロトコルとを組み合わせることによって、セキュリティを維持しつつ無線端末装置と有線端末装置とのデータ通信を効率よく行い、またIPSecやMobileIPなどで利用される「トンネル」を通るカプセル化されたパケットに対しても有効に機能するゲートウェイ装置、通信装置、制御装置、および通信制御方法の提供を目的とする。
【0016】
【課題を解決するための手段】
以上述べた課題を解決するため、本発明におけるゲートウェイ装置は、無線網に収容された無線端末装置と有線網に収容された有線端末装置との間でトランスポート層以上の情報の中継を行うゲートウェイ装置において、前記無線端末装置と前記有線端末装置との間で秘匿性を保証する通信のために、前記無線端末装置と前記有線端末装置との間に設定されるセキュリティアソシエーションに関する情報を保持するセキュリティ情報保持手段と、前記無線端末装置と前記有線端末装置との間で秘匿性を保証する通信を中継する際に前記セキュリティアソシエーションに関する情報を利用して前記無線端末装置もしくは前記有線端末装置に受信される暗号化された情報を復号化する情報復号化手段と、前記復号化された情報に基づいて前記トランスポート層以上の情報を利用して中継処理を行う中継手段と、前記中継手段が送信する情報を前記セキュリティアソシエーションに関する情報を利用して秘匿化する情報暗号化手段とから構成される。
【0017】
また、本発明におけるゲートウェイ装置は、無線網に収容された無線端末装置と有線網に収容された有線端末装置との間でトランスポート層以上の情報の中継を行うゲートウェイ装置において、前記無線端末装置と前記有線端末装置との間で情報の認証を保証した通信を行うために、前記無線端末装置と前記有線端末装置との間に設定されるセキュリティアソシエーションに関する情報を保持するセキュリティ情報保持手段と、前記無線端末装置と前記有線端末装置との間で前記認証を保証された情報を前記トランスポート層以上の情報を利用して中継処理を行う中継手段と、前記中継手段が中継する前記認証が保証された情報および前記中継手段が必要に応じて新たに生成した情報に対して前記セキュリティアソシエーションに関する情報を利用して、前記認証が保証された情報を保証する認証情報を付加する認証情報手段とから構成される。
【0024】
また、本発明のおけるゲートウェイ装置は、無線網に収容された無線端末装置と有線網に収容された有線端末装置との間でトランスポート層以上の情報の中継を行うゲートウェイ装置において、第1のゲートウェイ装置を通過した前記情報をカプセル化する第2のゲートウェイ装置と、前記カプセル化された情報からカプセルを取り除き、前記カプセルが取り除かれた情報を前記トランスポート層以上の情報を利用して中継を行う必要があるか否かを判断し、必要な場合には中継を行う第3のゲートウェイ装置と、前記第3のゲートウェイ装置から送られた情報をカプセル化するカプセル化手段とから構成される。
【0025】
また、本発明のおけるゲートウェイ装置は、ネットワークによって相互に通信可能な第1の通信装置と第2の通信装置との間で、トランスポート層以上の情報を利用した中継を行なうゲートウェイ装置において、前記第1の通信装置と第2の通信装置との間で秘匿性を保証する通信のために、前記第1の通信装置と第2の通信装置との間に設定される第1のセキュリティアソシエーションに関する情報を保持する第1のセキュリティ情報保持手段と、前記第1の通信装置と第2の通信装置との間で秘匿性を保証する通信を中継する際に前記第1のセキュリティアソシエーションに関する情報を利用して、前記第2の通信装置もしくは第2の通信装置に受信される暗号化された情報を復号化する情報復号化手段と、前記復号化された情報に基づいて前記トランスポート層以上の情報を利用して中継処理を行う中継手段と、前記中継手段が送信する情報を前記第1のセキュリティアソシエーションに関する情報を利用して秘匿化(暗号化)する情報暗号化手段とから構成される。
【0026】
また、本発明のおけるゲートウェイ装置は、ネットワークによって相互に通信可能な第1の通信装置と第2の通信装置との間で、トランスポート層以上の情報を利用した中継を行なうゲートウェイ装置において、前記第1の通信装置と第2の通信装置との間で秘匿性を保証する通信のために、前記第1の通信装置と第2の通信装置との間に設定される第1のセキュリティアソシエーションに関する情報を保持する第1のセキュリティ情報保持手段と、前記第1の通信装置と第2の通信装置との間で秘匿性を保証する通信を中継する際に前記第1のセキュリティアソシエーションに関する情報を利用して、前記第2の通信装置もしくは第2の通信装置に受信される暗号化された情報を復号化する情報復号化手段と、前記復号化された情報に基づいて前記トランスポート層以上の情報を利用して中継処理を行う中継手段と、前記中継手段が送信する情報を前記第1のセキュリティアソシエーションに関する情報を利用して秘匿化する情報暗号化手段とから構成される。
【0027】
なお、無線通信端末および有線通信端末は、それら装置と情報の送受信もしくは中継がなされるサーバを含んだものであっても良い。また、通信装置は無線通信端末、有線通信端末乃至ルータであっても良い。
【0028】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照して説明する。
【0029】
図1は本発明のネットワーク構成図であり、ルータ701を挟んで、ネットワーク201側とネットワーク202側とに分けられる。これらの間でネットワーク運営の主体が異なっていても構わない。ネットワーク201は有線網に有用されたTCP/IP端末101〜103(有線端末装置)を収容し、IPパケットを交換するルータ701によってネットワーク202と相互接続されている。ここで、ネットワーク201と類似のネットワークが複数ネットワーク202に接続されていても良い。また、ネットワーク201がネットワーク202以外のネットワークと相互接続されていても良い。ネットワーク202側は移動をサポートしているものとする。但し、移動の有無は特許の本質とは無関係である。移動はMobileIPのようなIP層による実現、セルラー網のようなリンク層による実現などがあるが、その方法も問わない。移動を実現するために必要な要素は図示していない。ネットワーク202はTCP-GW401と402とによってネットワーク203と204とを、TCP-GW403によって基地局305と306とを、それぞれ収容する。
【0030】
TCP-GWはSnoop ProxyのようなTCPを意識したリンク層再送機能を持つノードであっても良いし、更に一般的なプロキシー装置であっても構わないが、以下ではTCP-GWで代表する。更にネットワーク202はセキュリティサーバ601を持つ。ネットワーク203と204は、それぞれ基地局301と302、基地局303と304を収容する。基地局301のエリアには無線網に収容された移動端末501と502、基地局302のエリアには無線網に収容された移動端末503、基地局304のエリアには無線網に収容された移動端末504と505、基地局305のエリアには無線網に収容された移動端末506、そして基地局306のエリアには無線網に収容された移動端末507と508が存在する状態を示している。移動端末501〜508(無線端末装置)はTCP/IP端末である。
【0031】
このような状況下で、例えば端末101と移動端末501の間でIPSecを利用してセキュリティを保証したTCP/IP通信を行う場合を想定する。IPSecによる通信を行うためには、端末101と移動端末501との間にIPSec SA(Security Association、以下SAと記す)が確立されている必要がある。
【0032】
SAは一方向の関係を示すので、双方向の関係には2つのSAが必要となる。1つのSAに適用されるセキュリティプロトコルは1つに制限される。但し、必要なら2点の間で複数のSAを設定しても良い。SAを識別する情報は、(1)SPI(Security Parameter Index)、(2)IP destination address、(3)Security protocol identifierの3つである。SPIはローカルで一意なビット列である。SPIは、AHおよびESPヘッダに含まれ、受信側が受信パケットを処理するために必要なSAを決定するために使われる。IP destination addressはSAの終点を示す。SAの終点はエンドユーザシステムであっても、ファイアウォールのようなものであっても良い。Security protocol identifierは、SAがAH乃至ESPを使うか否かを示す。
【0033】
セキュリティアソシエーションデータベース(SAD)には、以下のような情報が含まれる。
【0034】
・シーケンス番号カウンタ:AH乃至ESPヘッダのシーケンス番号フィールドを生成するために使用される。
【0035】
・シーケンス番号カウンタオーバフロー:オーバフローした場合は、それ以上のパケット送信は禁止される。
【0036】
・Anti-reply ウィンドウ:AHまたはESPパケットが第3者による再送でないことを保証するために、そのシーケンス番号は、ここで指定されるスライディングウィンドウの範囲になければならない。
【0037】
・AH情報:認証アルゴリズム、鍵、鍵の生存時間、およびAHに関連するパラメータ。
【0038】
・ESP情報:暗号化と認証アルゴリズム、鍵、初期化の値、鍵の生存時間、およびESPに関連するパラメータ。
【0039】
・SAの生存時間:このSAが新たなSAで置き換えられなければならない、時間インターバル、乃至はバイト数。およびこのような置き換えを行わなければならないか否かの指定。
【0040】
・IPSecプロトコルモード:トンネル、トランスポート乃至ワイルドカードモード。
【0041】
・Path MTU:観測されたパスの最大transmission unit(IPフラグメントなしでそのパス経由で伝送できる最大サイズ)。およびその情報の新しさ。
【0042】
ユーザのポリシーによって、IPSecをいかにIPトラフィックに適用するかを決めることができる。つまりIPSecを適用するか否か、適用するとすればどのSAを利用するかを選択できる。このような情報はセキュリティポリシーデータベース(SPD)に含まれている。
【0043】
SPDのエントリは、以下のselectorによって定められる。
【0044】
・Destination IP address:範囲を示すものであっても良い。
【0045】
・Source IP address:範囲を示すものであっても良い。
【0046】
・User ID:システムのユーザ識別子。
【0047】
・Data sensitivity level:秘密乃至そうでないかなど。
【0048】
・トランスポート層プロトコル:UDP,TCPなどを指定するプロトコル番号。
【0049】
・IPSec プロトコル:AH、ESP乃至AH/ESP。
【0050】
・Source and destination ports:TCP乃至UDPのポート番号。
【0051】
・IPv6 class, IPv6 flow label
・IPv4 Type of Service(TOS)
このように識別されるSPDの各エントリには、1つ以上のSAが対応している。
【0052】
SAは手動で設定しても良いが、Internet Key Exchange(IKE)によって自動的に設定することも可能である。IKEは2つのフェーズに分けられる。フェーズ1では、IKE SAを確立しその後の通信の安全を図る。フェーズ2では、IKE SAの下で、AH乃至はESPのためのSAのパラメータを交換する。
【0053】
さて、TCP-GWに代表されるプロキシーが機能するためには、TCP-GWがSAの少なくとも一部の情報を知っている必要がある。この情報とはより具体的には、暗号化を解いて必要な処理後に再び暗号を掛けるために必要な情報であり、また、プロキシーがパケットを生成する場合にそのパケットを正しく認証された形式にするために必要な情報である。
【0054】
このようなプロキシ−を機能させるための方法として、以下の方式が考えられる。
【0055】
(方式1)各種情報を手動で設定する。
【0056】
(方式2)IKEのフェーズ2で交換されるSA情報から得る。つまり、IKE SAの情報を知っていてIPSec SA情報を傍受したエンティティがプロキシーに情報を与える。
【0057】
(方式3)SAのいずれかの端点から提供を受ける。
【0058】
(方式4)プロキシー自ら、乃至セキュリティサーバがSA情報を生成し、各端点と必要ならプロキシーに提供する。
【0059】
以下では、方式3と方式4について詳しく述べる。
【0060】
最初に(方式3)について述べる。端末101と移動端末501の間で、IKE SAが確立されているとする。これから行おうとする通信に適用するべきIPSec SAは、確立されている場合と確立されていない場合とがある。IPSec SA確立されていない場合は、端末101のセキュリティ情報管理1124(図3参照、セキュリティ情報提供手段(請求項3))と移動端末501のセキュリティ情報管理1524(図4参照、セキュリティ情報提供手段(請求項3))の間で、IKEのフェーズ2の手順でIPSec SAを確立すれば良い。セキュリティ情報管理1124(選択手段(請求項7))、1524は、自らの持つSADとSPDに、このIPSec SA確立で発生した関連する情報を記憶する。なお、IPSec SAとして、プロキシーの介在を許容するものと、許容しないものを設けても良い。更に、プロキシーに暗号を解くことは許すが、新たなパケットの生成乃至パケット内容の変更は許容しないクラスがあっても良い。これはSPDのselectorのdata sensitivity levelに、その識別を行う分類を設けるのが自然であるが、例えばポート番号で識別しても良い。
【0061】
以下では、プロキシーの介在を許容するIPSec SAを主に扱う。プロキシーの介在を許容しないIPSec SAについては、従来のIPSecと同様に動作する。
【0062】
さて、端末101と移動端末501は、セキュリティサーバ601(セキュリティ情報生成手段(請求項5)、セキュリティ情報配布手段(請求項5)、制御装置(請求項6))およびTCP-GW401〜403を信頼できる装置として扱う。例えば、それらがある信頼できるネットワーク運営主体によって信頼できる装置として運用されている場合が想定できる。このネットワークのTCP-GWに代表されるプロキシー機能を利用するためには、セキュリティサーバ601にIPSec SA情報を提供する必要があることは、端末101乃至移動端末501の少なくともいずれか一方には認識されていることを仮定している。なお、セキュリティサーバ601でなく、TCP-GW401に直接IPSec SA情報を提供してもTCP-GWとして有効に動作できるが、利用する個別のプロキシーを端末101乃至移動端末501が認識しなければならない。TCP-GWやSnoopなどは、本来その存在が端末から見えないので、これはあまり良い方法ではない。また、端末101、移動端末501のいずれが提供しても良いが、無線対応のプロキシーを利用すべきであることをより容易に把握できる移動端末501が提供すると仮定する。まず、これから送信するIPSec SA情報を保護するために、移動端末501とセキュリティサーバ601の間に何らかのセキュリティアソシエーションが必要である。セキュリティアソシエーションは、IPSecを使うと仮定する。移動端末501とセキュリティサーバ601の間で、最初にIKE SAを確立し、次にAHとESPの両方を用いるIPSec SAを確立する。このIPSec SAを用いて、移動端末501のセキュリティ情報管理1524から、セキュリティサーバ601のセキュリティ情報管理1624(図5参照、セキュリティ情報生成手段(請求項5)、セキュリティ情報配布手段(請求項5)、セキュリティ情報検索手段(請求項6))に向けて、端末101と移動端末501の間のプロキシー介在を許容するIPSec SA情報を送信する。セキュリティ情報管理1624は、この情報をSPDとSADに記憶する。
【0063】
図2はTCP-GWのブロック構成図であり、上述したSnoop Proxyのようなものであっても良くその場合の構成は異なる。また図3は端末101のブロック構成図であり、図4は移動端末501のブロック構成図であり、図5はセキュリティサーバ601のブロック構成図である。なお、図中の実線矢印はデータの流れ、破線矢印は制御の流れを示す。
【0064】
以下で、TCP-GW401は、端末101と移動端末501の間のトラフィックを検出したことを契機に、IPSec SA情報をセキュリティサーバ601から取得する。ここでは、IKE SAによって、上記のプロキシー介在を許容するIPSec SAを確立するためのトラフィックを検出したとする。IKEはUDPのポート番号500を利用しているので、IP入力部1423でIPヘッダを見ていれば、この通信の存在がわかる。端末101と移動端末501の間の他の種類の通信であっても構わない。これらの存在は、端末101と移動端末501の間で、今後も何らかの通信が行われる可能性が高いことを示している。従って、TCP-GW401のセキュリティ情報管理1424(第1のセキュリティ情報保持手段(請求項1,2))が、セキュリティサーバ601のセキュリティ情報管理1624に対して、端末101と移動端末501の間のIPSec SAに関する情報を提供するように要求する。例えば端末101と移動端末501のIPアドレスの組を検索鍵として予めセキュリティサーバ601に記憶しておくことも一手法である。
【0065】
セキュリティサーバ601のセキュリティ情報管理1624は、TCP-GW401のセキュリティ情報管理1424からの要求を受けた時点では、まだ端末101と移動端末501の間のIPSec SAを持っていないかも知れない。なぜなら、この要求はIPSec SAを設定するためのトラフィックを検出して行われたものだからである。セキュリティ情報管理1624は、そのような要求があったことをタイムアウトするまで記憶しておいて、要求にあうIPSec SA情報を得る度に、TCP-GW401のセキュリティ情報管理1424に、IPSec SA情報を提供する。
【0066】
このようにして、TCP-GW401のセキュリティ情報管理1424が、セキュリティサーバ601のセキュリティ情報管理1624から、端末101と移動端末501の間のIPSec SAに関する情報を得ると、これをセキュリティ情報管理1424のSPDとSADに記憶する。更に、IP入力部1423でフィルタを設定して、端末101と移動端末501の間のプロキシー介在を許容するIPSec SAによるパケットでかつTCPの通信であるという条件にマッチする時には、TCP層まで上げるようにする。なお、IPSec SA情報要求がタイムアウトする時点で、更に端末101と移動端末501の間での通信がTCP-GW401を通過すると見込まれる場合には、要求を更新する。
【0067】
次に、プロキシーを許容するIPSec SAを利用して、端末101のPEP利用アプリケーション1162(図3参照)と移動端末501のPEP利用アプリケーション1562(図4参照)が通信を行う。なお、アプリケーションでプロキシーを許容するか否かを分けているのは便宜的なもので、実際にはTCPのコネクション毎に使い分けが可能である。PEP利用アプリケーション1162がPEP利用アプリケーション1562に対して、TCPのコネクション設定を行うとする。PEP利用アプリケーション1162は、例えばUNIXのsocketインタフェースによって、OSに対してTCPコネクション設定を要求できる。この際、例えばsocketのオプションによって、このTCPコネクションをプロキシー介在を許容するか否かを指定できる。既に述べたように、ここではプロキシー介在を許容する。これは、例えばSPDエントリのData sensitivity level selectorの値として設定される。他のselectorの値は、destination IP addressとして移動端末501のIPアドレス、source IP addressとして端末101のIPアドレス、UserIDとしてPEP利用アプリケーション1162のユーザ識別子、Transport layer protocolとしてTCP、IPSec protocolとして例えばAH/ESP(他にAHあるいはESPが可能)、source/destination portとして適当なポート番号などとなる。IP出力部1122を監視しているセキュリティ情報管理1124は、出力IPパケット毎にSDPエントリを検索し、対応するIPSec SAを見付ける。Selectorが上記の値を持つパケットに対しては、既に述べたプロキシー介在を許容するIPSec SAが対応する。するとセキュリティ情報管理1124は、IPSec SAに指定されたアルゴリズムと鍵などによって、パケットを暗号化し認証のための情報を付加するように、暗号機能1126と認証機能1125を制御する。トランスポートモードとトンネルモードのうち、ここでは前者を利用するので、図6(a)のパケットを処理後のパケットは図6(b)に示すフォーマットになる。ここで、一般に暗号化後にはTCPヘッダとデータの境界は保存されない。また、AH認証対象は、IPヘッダの経路上での変化による結果を予測できない部分(例えばTTLなど)は含まない。
【0068】
このように処理されたパケットは、有線IF出力部1142によってネットワーク201に送信され、更にルータ701、ネットワーク202を経由して、TCP-GW401に到着する。有線側IF入力部1446を経てIP入力部1423に到着したパケットは、SPI (Security Parameter Index)、IP destinationaddress、Security protocol identifierの3つによって識別されるIPSec SAの指定に従って処理される。識別するパラメータの値は、セキュリティサーバ601から提供されたものであり、セキュリティ情報管理1424によってIP入力部に設定されている。セキュリティ情報管理1424が認証機能1425(認証情報手段(請求項2))と暗号機能1426(情報復号化手段(請求項1)、情報暗号化手段(請求項1))を制御して、図6(b)に示すIPSecパケットを、図6(a)に示す元のパケットの形に戻す。
【0069】
元のパケットの情報からTCP中継処理を行うか否かをIP入力部1423が判断し、中継処理を行うものとしてTCP入力部1405に渡す。最も単純な判断基準はTCPなら全てTCP接続を利用して中継するというものであるが、他の属性も使用してTCPだがTCP情報を利用した中継をしないようにしても良い(IP中継となる)。このパケットは、その内容に応じて、TCP中継部1402(中継手段(請求項1,2))の有線→無線1407、TCP入力部1405および無線TCP出力部1408で処理される。例えば、SYNパケットなら、新たなTCPコネクションが設定されるものとして対応する状態を生成する。必要なら適当なオプションを追加するなどして、無線TCP出力部1408に中継する。更に、TCP出力部1404からSYN/ACKを返す(Snoopの場合は返さない)。別の例として、データパケットなら、後で再送する可能性があるので、バッファにコピーを蓄積してから、無線TCP出力部1408に渡す。更に、TCP出力部1404からそのデータパケットに対するACKを返す(Snoopの場合は返さない)。なお、ここで扱っているパケットは、TCP-GW401が生成したものを含め、全て端末101と移動端末501の間で送受信されているかのように、IPヘッダのアドレスフィールドが設定されている。つまり、TCPゲート401存在は隠されている。
【0070】
無線TCP出力部1408およびTCP出力部1404は、パケットをIP出力部1422に渡す。セキュリティ情報管理1424は、パケットの情報からSPDのエントリを識別するselector情報を得て、SPDを検索して対応するIPSec SAを得る。このIPSec SAに関する情報をSADから取得して、それに応じて暗号機能1426と認証機能1425を制御して、再びパケットを図6(b)に示すIPSecパケットの形にする。ここで同じパケットであっても、TCP-GWに受信されたIPSecパケットと、TCP-GWから送信されるIPSecパケットの内容は一般に異なる。例えば、TCP-GW401は、ACKを中継するのではなく生成するので訂正のために付与されるIPSecのAHないしESPのシーケンス番号は一般に異なる。これらのパケットは、無線側IF出力部1443からネットワーク203へ、有線側IF出力部1445からネットワーク202へ、それぞれ送信される。
【0071】
なお、Snoopの場合は、Snoop proxyに受信されたIPSecパケットと、Snoop proxyから送信されるIPSecパケットの内容は多くの場合同じにできる。
【0072】
Snoopは重複ACKを中継せずに捨てることがあるが、これはIPネットワーク内で自然に失われるのと同じであり、IPSec的に特に問題無い。Snoopが本来のTCP送信ホストの代わりに再送を行うことがあるが、これはオリジナルのコピーを再送すれば良いが、IPSecのAnti-replyによって受信端末で捨てられる可能性がある。これを防ぐためには、認証のためのシーケンス番号が、Anti-replyウィンドウの範囲内に収まっている必要がある。これらの条件が満たされれば、Snoopの場合には、IPSecパケットから元のTCP/IPヘッダ情報を取り出せれば良いのであって、一度オリジナルの形に戻したパケットを再びIPSecパケットに変更する必要は無い。従って、Snoop proxyに認証を掛けるために鍵情報を与えなければ、端末101と移動端末501の間で、情報の改竄がなかったことと、本来の送信者から送信されたパケットであることはIPSec的に保証できる。Snoop proxyに暗号を解くためのSA情報を持てば機能できる。
【0073】
ネットワーク203へ送信されたパケットに注目すると、これは基地局301経由で移動端末501によって受信される。無線IF入力部1543を経てIP入力部1523に到着したパケットは、SPI(Security Parameter Index)、IP destination address、Security protocol identifierの3つによって識別されるIPSec SAの指定に従って処理される。セキュリティ情報管理1524が認証機能1525と暗号機能1526を制御して、図6(b)に示すIPSecパケットを、図6(a)に示す元のパケットの形に戻す。そして、パケットに載っていた情報は、PEP利用アプリケーション1562に渡される。
【0074】
次に(方式4)、つまりセキュリティサーバ601がIPSec SA情報を生成し、端末101と移動端末501、およびTCP-GW401に生成したIPSec SA情報を渡す場合について述べる。
【0075】
移動端末501のセキュリティ情報管理1124が、セキュリティサーバ601のセキュリティ情報管理1624に対し、端末101との間のプロキシーの介在を許容するIPSec SA情報を生成するように依頼する。依頼にはIPSecなどでセキュリティの確保された通信路を用いる。セキュリティ情報管理1624は、依頼に応じたIPSec SA情報を生成すると、これをセキュリティの確保された通信路で、移動端末501、端末101、およびTCP-GW401に提供する。移動端末501には、依頼の応答として提供すれば良い。端末101に対しては、セキュリティサーバ601から直接提供しても良いし、移動端末501から提供しても良い。TCP-GWに対しては、例えば移動端末501の位置情報から、TCP-GW401がIPSec SAを利用する可能性の高いと判断できれば、セキュリティサーバ601が自発的に送信すれば良い。さもなければTCP-GW401が、端末101と移動端末501の間の通信を検出してから、セキュリティサーバ601に要求することになる。全てのTCP-GW401〜403に提供しても機能するが、効率は悪いし、セキュリティが破られる可能性も高くなる。これらの通信は、端末101、移動端末501、TCP-GW401、およびセキュリティサーバ601それぞれのセキュリティ情報管理1124、1524、1424、および1624の間で行われる。一旦、IPSec SAの情報がTCP-GW401に提供されれば、後の動作は(方式3)の場合と同様であるので省略する。
【0076】
これから、移動端末(例えば移動端末501)の移動に伴いTCP-GWを変更するプロキシーハンドオフ制御について述べる。このため、移動端末501で終端される中継対象のTCPコネクション状態の情報と、移動端末501に対応するIPSec SA情報を、前のTCP-GW(例えばTCP-GW401)から後のTCP-GW(例えばTCP-GW402)に引き継ぐ必要がある。TCP-GW402は、移動端末501を起点・終点とする通信を検出した際に、前のTCP-GWを何らかの方法で探して、ハンドオフ処理を行うために必要な情報を要求する。このために予め隣接するTCP-GWをお互いに認識しておくことが有効である。
【0077】
例えば、
(NR方式A)物理的な距離が近いTCP-GWを認識する、
(NR方式B)ネットワーク的な距離(ホップ数、遅延など)が近いTCP-GWを認識する、
といった方式が考えられる。
【0078】
移動端末の物理的な移動によりハンドオフが必要になるとすると、(NR方式A)が望ましい。しかし、物理的な位置を知ることができない場合には、(NR方式B)を利用する場合もある。
【0079】
(NR方式A)を実現するために、例えばプロキシ管理サーバ801を設ける。
TCP-GW401は基地局301と302、TCP-GW402は基地局303と304、TCP-GW403は基地局305と306の物理的な位置を何らかの方法で知りえており、その情報をプロキシ管理サーバ801に通知する。プロキシ管理サーバ801は、TCP-GW401と402の間のハンドオフ、TCP-GW402と403の間のハンドオフが発生し得ると判断する。そして、TCP-GW401に対してはTCP-GW402がハンドオフ対象となること、TCP-GW402に対してはTCP-GW401と403がハンドオフ対象となること、TCP-GW403に対してはTCP-GW402がハンドオフ対象となることを通知する。これらの処理は、TCP-GW401〜403のTCPハンドオフ制御1410とプロキシ管理サーバ801によって行われる。もちろん、TCP-GW401〜403に対して、これらの情報を手動で設定することも可能である。
【0080】
また、(NR方式B)を実現するためには、例えば次のような手順が考えられる。
【0081】
全てのTCP-GWが加入するマルチキャストグループを定義しておき、各TCP-GWのTCPハンドオフ制御1410がTTLを適当に制限したマルチキャストパケットを問い合わせするために送信する。これを受信した各TCPハンドオフ制御1410が送信元にユニキャストで応答することで、ホップ数の少ないTCP-GWを探すことができる。
【0082】
さて、上述したように、端末101と移動端末501の間で、プロキシー介在を許容するIPSec SAの下で、TCP-GW401を介して、TCPによる通信を行っているとする。プロキシーハンドオフに伴う情報の引渡しにはいくつかのバリエーションが考えられる。
・ハンドオフする可能性のあるTCP-GWに、予め渡せる情報は渡しておくか否か。予め渡すとすれば以下のような候補がある。
【0083】
−中継対象端末:新しいTCP-GWがこの端末の通信を検出した時に、どのTCP-GWに問い合わせれば、必要な情報が得られるかがわかる。
【0084】
−IPSec SA情報:ハンドオフ遅延の減少が見込める。
・ユニキャストで問い合わせるか、マルチキャストで問い合わせるか。
【0085】
−ユニキャスト:前のTCP-GWである可能性のある全てのTCP-GWに個別に問い合わせる。上記中継対象端末情報またはIPSec SA情報を持っていれば、その情報を提供したTCP-GWに問い合わせる。
【0086】
−マルチキャスト: 前のTCP-GWである可能性のある全てのTCP-GWを含むマルチキャストグループを定義しておく。このマルチキャストグループ宛に問い合わせを送信する。
【0087】
なお、ハンドオフに伴う通信は、原則としてセキュリティが確保された通信路によって行う。
【0088】
ここで、TCP-GW401のセキュリティ情報管理1424から、TCP-GW402のセキュリティ情報管理1424に対して、予めIPSec SA情報が与えられているとする。TCP-GW401のセキュリティ情報管理1424は、セキュリティサーバ601から新たなIPSec SA情報を得ると、TCPハンドオフ制御1410に、そのIPSec SA情報を提供すべき先のTCP-GWを問い合わせる。この場合はTCP-GW402に提供するべきなので、TCP-GW401のセキュリティ情報管理1424は、TCP-GW402のセキュリティ情報管理1424に対して、そのIPSec SA情報を提供する。TCP-GW402のセキュリティ情報管理1424は、IPSec SA情報をSPDとSADに記憶すると共に、その提供元がTCP-GW401であることと、その提供時間を記憶する。
【0089】
移動端末501が基地局301のエリアから、基地局302のエリアを経て、更に基地局303のエリアへ移動したとする。するとTCP-GW402が端末101と移動端末501の間の通信を検出する。TCP-GW402のセキュリティ情報管理1424は、端末101と移動端末501の間のIPSec SA情報を、最近提供したものがTCP-GW401であることを認識するので、TCPハンドオフ制御1410に対して、TCP中継のハンドオフに必要な情報は、TCP-GW401から得られることを教える。また、TCP-GW402のセキュリティ情報管理1424は、TCP-GW403のセキュリティ情報管理1424に対して、対応するIPSec SA情報を通知する。以前から知っていたIPSec SA情報をこの時点で通知するのは、TCP-GW403へのハンドオフの可能性が生じたからである。
【0090】
TCP-GW402のTCPハンドオフ制御1410は、TCP-GW401のTCPハンドオフ制御1410から得た、端末101と移動端末501間のTCPコネクションの情報から、TCP1401と無線TCP1403に対してTCP中継に必要な情報を設定する。例えば、シーケンス番号やウィンドウ制御関連の情報、設定されているTCPオプション、バッファに一時記憶されているデータパケットなどである。TCP中継の再開にあたっては、TCPシーケンス番号がなるべく乱れ無いように行う。つまり、バッファに一時記憶されているデータパケットのTCPシーケンス番号が、端末101と移動端末501の間を流れているTCPデータパケットのシーケンス番号よりも小さければ、それらを先に中継する。その後のTCP中継処理、およびIPSec関連の処理は既に述べた手順に準ずる。
【0091】
次に、端末102がIPSecの機能を持たないIP端末で、ルータ701がセキュリティサービスとして、ネットワーク102からネットワーク201へ出る、IPSecで保護されていないパケットを、IPSecのトンネルモードで保護する場合について述べる。特に、カプセル化されたパケットをプロキシーで扱う方法について説明する。Mobile IPなど他のカプセル化の場合にも適用できる。
【0092】
端末102と移動端末502の間の通信を想定する。移動端末502は、図4に構成を示すようなIPSec機能を持つ端末である。端末102は、図7に示すような構成でありIPSec機能を持たない端末である。この間で通信を行う際に、図8に構成を示すルータ701と移動端末502の間でIPSecを利用した通信を行う。このため、既に述べたものと同様な方式で、ルータ701と移動端末502の間のIPSec SAが確立され、更にセキュリティサーバ601を介して、プロキシー介在を許容するIPSec SAの情報が必要なTCP-GW401に提供される。この際には、IPSecのトンネルモードが用いられる。端末102と移動端末502の間のパケットに対応するIPSecパケットは、図9(a)に示す形になる。
【0093】
TCP-GW401での中継処理は既に述べた方法に準ずる。但し、セキュリティ情報管理1424の制御の下でIPSecを解いてカプセル化も外した後のパケットについては、IP入力部1423がTCP中継を行うか否かを判断し、必要な場合にTCP1401にパケットを渡すことになる。また、パケットを送信する際はIPSecとカプセル化の処理を行う(図9(b)参照)。既に述べた方式との処理の切り替えは、SADから得たIPSec SA情報に含まれるIPSecプロトコルモードの値が、トランスポートモードであるか、トンネルモードであるかによって行うことができる。また、新しいIPヘッダが、カプセル化ヘッダであることを認識して行うこともできる。これは、例えばMobile IP(IETF RFC2002)によるHome AgentとForeign Agentの間のカプセル化されたTCP/IPパケットを扱うTCP-GWの場合など、一般にトンネルの中間にあるプロキシーの場合にも適用できる。
【0094】
なお、上記の実施の形態はその主旨を逸脱しない範囲で種々変形して実施できることは言うまでもない。例えば、IPv6に適用することも可能である。
【0095】
また、有線端末と無線端末の間だけではなく、無線端末501と無線端末508の間の通信にも本発明が適用できることは明らかである。
【0096】
【発明の効果】
以上述べたような本発明によれば、IPSecなどでセキュリティを保証した通信に対しても、TCP-GWやSnoopに代表されるプロキシーを適用して無線環境下での性能の向上を図ることができる。
【図面の簡単な説明】
【図1】 本発明の中継装置、通信装置、制御装置を含んだネットワーク構成図。
【図2】 本発明のTCP−GWのブロック構成図。
【図3】 本発明の端末のブロック構成図。
【図4】 本発明の移動端末のブロック構成図。
【図5】 本発明のセキュリティサーバのブロック構成図。
【図6】 本発明のIPSec処理前後のパケットフォーマットの構成図。
【図7】 本発明の別の端末のブロック構成図。
【図8】 本発明のルータのブロック構成図。
【図9】 本発明のIPSec処理前後のパケットフォーマットの構成図。
【符号の説明】
101、102、103 端末
201、202、203、204 ネットワーク
301、302、303、304、305、306 基地局
401、402、403 TCP−GW
501、502、503、504、505、506、507、508 移動端末
601 セキュリティサーバ
701 ルータ
801 プロキシ管理サーバ

Claims (2)

  1. 無線網に収容された無線端末装置と有線網に収容された有線端末装置との間でトランスポート層以上の情報の中継を行うゲートウェイ装置において、前記無線端末装置と前記有線端末装置との間で秘匿性を保証する通信のために、前記無線端末装置と前記有線端末装置との間に設定されるセキュリティアソシエーションに関する情報を保持するセキュリティ情報保持手段と、前記無線端末装置と前記有線端末装置との間で秘匿性を保証する通信を中継する際に前記セキュリティアソシエーションに関する情報を利用して前記無線端末装置もしくは前記有線端末装置に受信される暗号化された情報を復号化する情報復号化手段と、前記復号化された情報に基づいて前記トランスポート層以上の情報を利用して中継処理を行う中継手段と、前記中継手段が送信する情報を前記セキュリティアソシエーションに関する情報を利用して秘匿化する情報暗号化手段とを具備したことを特徴とするゲートウェイ装置。
  2. 無線網に収容された無線端末装置と有線網に収容された有線端末装置との間でトランスポート層以上の情報の中継を行うゲートウェイ装置において、前記無線端末装置と前記有線端末装置との間で情報の認証を保証した通信を行うために、前記無線端末装置と前記有線端末装置との間に設定されるセキュリティアソシエーションに関する情報を保持するセキュリティ情報保持手段と、前記無線端末装置と前記有線端末装置との間で前記認証を保証された情報を前記トランスポート層以上の情報を利用して中継処理を行う中継手段と、前記中継手段が中継する前記認証が保証された情報および前記中継手段が必要に応じて新たに生成した情報に対して前記セキュリティアソシエーションに関する情報を利用して、前記認証が保証された情報を保証する認証情報を付加する認証情報手段とを具備したことを特徴とするゲートウェイ装置。
JP2000151434A 2000-05-23 2000-05-23 ゲートウェイ装置 Expired - Fee Related JP3730480B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2000151434A JP3730480B2 (ja) 2000-05-23 2000-05-23 ゲートウェイ装置
US09/862,440 US7143282B2 (en) 2000-05-23 2001-05-23 Communication control scheme using proxy device and security protocol in combination

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000151434A JP3730480B2 (ja) 2000-05-23 2000-05-23 ゲートウェイ装置

Publications (2)

Publication Number Publication Date
JP2001333110A JP2001333110A (ja) 2001-11-30
JP3730480B2 true JP3730480B2 (ja) 2006-01-05

Family

ID=18656995

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000151434A Expired - Fee Related JP3730480B2 (ja) 2000-05-23 2000-05-23 ゲートウェイ装置

Country Status (2)

Country Link
US (1) US7143282B2 (ja)
JP (1) JP3730480B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011505736A (ja) * 2007-11-29 2011-02-24 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Imsシステムにおけるエンド・ツー・エッジのメディア保護のための方法および装置
JP2011508550A (ja) * 2007-12-26 2011-03-10 インターナショナル・ビジネス・マシーンズ・コーポレーション セキュリティ実施ポイントへのセキュリティ・アソシエーション情報の選択的ロードのための方法、装置、およびコンピュータ・プログラム

Families Citing this family (181)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6546425B1 (en) * 1998-10-09 2003-04-08 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US8078727B2 (en) 1998-10-09 2011-12-13 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US8060656B2 (en) 1998-10-09 2011-11-15 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7778260B2 (en) 1998-10-09 2010-08-17 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7293107B1 (en) 1998-10-09 2007-11-06 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7882247B2 (en) 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US7254237B1 (en) 2001-01-12 2007-08-07 Slt Logic, Llc System and method for establishing a secure connection
US7184401B2 (en) * 2001-02-05 2007-02-27 Interdigital Technology Corporation Link-aware transmission control protocol
FR2822318B1 (fr) * 2001-03-14 2003-05-30 Gemplus Card Int Dispositif portable pour securiser le trafic de paquets dans une plate-forme hote
US20020184487A1 (en) * 2001-03-23 2002-12-05 Badamo Michael J. System and method for distributing security processing functions for network applications
US7995603B2 (en) * 2001-05-22 2011-08-09 Nds Limited Secure digital content delivery system and method over a broadcast network
US6944760B2 (en) * 2001-05-24 2005-09-13 Openwave Systems Inc. Method and apparatus for protecting identities of mobile devices on a wireless network
US7856660B2 (en) * 2001-08-21 2010-12-21 Telecommunication Systems, Inc. System for efficiently handling cryptographic messages containing nonce values
FI116027B (fi) * 2001-09-28 2005-08-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi
EP1300991A1 (en) * 2001-10-02 2003-04-09 Lucent Technologies Inc. A method for filtering redundant data packets
US7260650B1 (en) * 2001-11-28 2007-08-21 Cisco Technology, Inc. Method and apparatus for tunneling information
US7139565B2 (en) * 2002-01-08 2006-11-21 Seven Networks, Inc. Connection architecture for a mobile network
JP2003204326A (ja) * 2002-01-09 2003-07-18 Nec Corp 通信システムと暗号処理機能付きlan制御装置、及び通信制御プログラム
CA2474089A1 (en) * 2002-01-14 2003-07-24 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US8976798B2 (en) * 2002-01-28 2015-03-10 Hughes Network Systems, Llc Method and system for communicating over a segmented virtual private network (VPN)
US20030172264A1 (en) * 2002-01-28 2003-09-11 Hughes Electronics Method and system for providing security in performance enhanced network
EP1333642B1 (en) * 2002-01-28 2008-08-20 Hughes Network Systems, LLC Method and system for integrating performance enhancing functions in a virtual private network (VPN)
US20030219022A1 (en) * 2002-01-28 2003-11-27 Hughes Electronics Method and system for utilizing virtual private network (VPN) connections in a performance enhanced network
US7389533B2 (en) * 2002-01-28 2008-06-17 Hughes Network Systems, Llc Method and system for adaptively applying performance enhancing functions
KR20030065156A (ko) * 2002-01-31 2003-08-06 주식회사 인프라밸리 망연결시스템
US6658091B1 (en) 2002-02-01 2003-12-02 @Security Broadband Corp. LIfestyle multimedia security system
US20030158938A1 (en) * 2002-02-15 2003-08-21 Adatrao Ravi Madhav K. Methods of performing mobile IP registration in a wireless communication system
US6973496B2 (en) * 2002-03-05 2005-12-06 Archduke Holdings, Inc. Concealing a network connected device
JP3924480B2 (ja) 2002-03-06 2007-06-06 株式会社エヌ・ティ・ティ・ドコモ ハンドオーバ制御装置、中継ルータ、ゲートウェイ装置、アクセスルータ、基地局、移動通信システム、及びハンドオーバ制御方法
US7188365B2 (en) 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
US7203957B2 (en) * 2002-04-04 2007-04-10 At&T Corp. Multipoint server for providing secure, scaleable connections between a plurality of network devices
US20040010594A1 (en) * 2002-07-11 2004-01-15 International Business Machines Corporation Virtualizing the security parameter index, marker key, frame key, and verification tag
DE60215481T2 (de) * 2002-07-19 2007-07-05 Tektronix International Sales Gmbh Einrichtung und Verfahren zur Kommunikationsüberwachung in einem Mobilfunknetz
US7386619B1 (en) * 2003-01-06 2008-06-10 Slt Logic, Llc System and method for allocating communications to processors in a multiprocessor system
JP3976262B2 (ja) * 2003-01-30 2007-09-12 インターナショナル・ビジネス・マシーンズ・コーポレーション サーバおよびプログラム
US7529754B2 (en) * 2003-03-14 2009-05-05 Websense, Inc. System and method of monitoring and controlling application files
US7185015B2 (en) 2003-03-14 2007-02-27 Websense, Inc. System and method of monitoring and controlling application files
US8473620B2 (en) * 2003-04-14 2013-06-25 Riverbed Technology, Inc. Interception of a cloud-based communication connection
US20050071510A1 (en) * 2003-09-29 2005-03-31 Nokia Corporation Transport layer communication
WO2005043826A1 (en) * 2003-11-02 2005-05-12 Yossy Sela Mobile telephone gateway apparatus, communication system, and gateway operating system
KR100585230B1 (ko) * 2003-12-27 2006-05-30 한국전자통신연구원 유무선 통합 인터넷 프로토콜망에서 패킷 유실과 전송지연을 감소시키는 티씨피 프록시 설정 방법 및 시스템
KR100609142B1 (ko) 2003-12-27 2006-08-08 한국전자통신연구원 유무선 장치간의 고속 실시간 데이터 전송을 위한매체접근 제어 장치
JP4452983B2 (ja) * 2004-01-08 2010-04-21 ソニー株式会社 受信装置および方法、プログラム、並びに記録媒体
KR100604597B1 (ko) 2004-02-20 2006-07-24 주식회사 팬택앤큐리텔 이동 통신 단말기
US11159484B2 (en) 2004-03-16 2021-10-26 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US11190578B2 (en) 2008-08-11 2021-11-30 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US11316958B2 (en) 2008-08-11 2022-04-26 Icontrol Networks, Inc. Virtual device systems and methods
US11113950B2 (en) 2005-03-16 2021-09-07 Icontrol Networks, Inc. Gateway integrated with premises security system
US11201755B2 (en) 2004-03-16 2021-12-14 Icontrol Networks, Inc. Premises system management using status signal
US10200504B2 (en) 2007-06-12 2019-02-05 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US11244545B2 (en) 2004-03-16 2022-02-08 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US11677577B2 (en) 2004-03-16 2023-06-13 Icontrol Networks, Inc. Premises system management using status signal
US8635350B2 (en) 2006-06-12 2014-01-21 Icontrol Networks, Inc. IP device discovery systems and methods
US20160065414A1 (en) 2013-06-27 2016-03-03 Ken Sundermeyer Control system user interface
US9729342B2 (en) 2010-12-20 2017-08-08 Icontrol Networks, Inc. Defining and implementing sensor triggered response rules
US20170118037A1 (en) 2008-08-11 2017-04-27 Icontrol Networks, Inc. Integrated cloud system for premises automation
US11582065B2 (en) 2007-06-12 2023-02-14 Icontrol Networks, Inc. Systems and methods for device communication
US11277465B2 (en) 2004-03-16 2022-03-15 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
US10313303B2 (en) 2007-06-12 2019-06-04 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US20090077623A1 (en) 2005-03-16 2009-03-19 Marc Baum Security Network Integrating Security System and Network Devices
US10339791B2 (en) 2007-06-12 2019-07-02 Icontrol Networks, Inc. Security network integrated with premise security system
US9141276B2 (en) 2005-03-16 2015-09-22 Icontrol Networks, Inc. Integrated interface for mobile device
US10444964B2 (en) 2007-06-12 2019-10-15 Icontrol Networks, Inc. Control system user interface
US20120066608A1 (en) 2005-03-16 2012-03-15 Ken Sundermeyer Control system user interface
US10375253B2 (en) 2008-08-25 2019-08-06 Icontrol Networks, Inc. Security system with networked touchscreen and gateway
US10382452B1 (en) 2007-06-12 2019-08-13 Icontrol Networks, Inc. Communication protocols in integrated systems
US9531593B2 (en) * 2007-06-12 2016-12-27 Icontrol Networks, Inc. Takeover processes in security network integrated with premise security system
US11811845B2 (en) 2004-03-16 2023-11-07 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US8963713B2 (en) 2005-03-16 2015-02-24 Icontrol Networks, Inc. Integrated security network with security alarm signaling system
US11916870B2 (en) 2004-03-16 2024-02-27 Icontrol Networks, Inc. Gateway registry methods and systems
CA2559842C (en) 2004-03-16 2014-05-27 Icontrol Networks, Inc. Premises management system
US10127802B2 (en) 2010-09-28 2018-11-13 Icontrol Networks, Inc. Integrated security system with parallel processing architecture
US7711796B2 (en) 2006-06-12 2010-05-04 Icontrol Networks, Inc. Gateway registry methods and systems
US10156959B2 (en) 2005-03-16 2018-12-18 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US10721087B2 (en) 2005-03-16 2020-07-21 Icontrol Networks, Inc. Method for networked touchscreen with integrated interfaces
US10522026B2 (en) 2008-08-11 2019-12-31 Icontrol Networks, Inc. Automation system user interface with three-dimensional display
US11489812B2 (en) 2004-03-16 2022-11-01 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US10237237B2 (en) 2007-06-12 2019-03-19 Icontrol Networks, Inc. Communication protocols in integrated systems
US11368429B2 (en) 2004-03-16 2022-06-21 Icontrol Networks, Inc. Premises management configuration and control
US10142392B2 (en) 2007-01-24 2018-11-27 Icontrol Networks, Inc. Methods and systems for improved system performance
US12063220B2 (en) 2004-03-16 2024-08-13 Icontrol Networks, Inc. Communication protocols in integrated systems
US11343380B2 (en) 2004-03-16 2022-05-24 Icontrol Networks, Inc. Premises system automation
JP3944182B2 (ja) 2004-03-31 2007-07-11 キヤノン株式会社 セキュリティ通信方法
EP1613003A1 (en) * 2004-06-30 2006-01-04 Alcatel Air interface protocols for a radio access network with ad-hoc extension
JP4710267B2 (ja) * 2004-07-12 2011-06-29 株式会社日立製作所 ネットワークシステム、データ中継装置、セッションモニタシステム、およびパケットモニタ中継装置
KR100651716B1 (ko) * 2004-10-11 2006-12-01 한국전자통신연구원 Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템
US7505447B2 (en) 2004-11-05 2009-03-17 Ruckus Wireless, Inc. Systems and methods for improved data throughput in communications networks
US8619662B2 (en) 2004-11-05 2013-12-31 Ruckus Wireless, Inc. Unicast to multicast conversion
TWI391018B (zh) * 2004-11-05 2013-03-21 Ruckus Wireless Inc 藉由確認抑制之增強資訊量
US8638708B2 (en) 2004-11-05 2014-01-28 Ruckus Wireless, Inc. MAC based mapping in IP based communications
JPWO2006093079A1 (ja) * 2005-02-28 2008-08-07 日本電気株式会社 通信システム、通信装置、通信方法、及びプログラム
US11700142B2 (en) 2005-03-16 2023-07-11 Icontrol Networks, Inc. Security network integrating security system and network devices
US20120324566A1 (en) 2005-03-16 2012-12-20 Marc Baum Takeover Processes In Security Network Integrated With Premise Security System
US11615697B2 (en) 2005-03-16 2023-03-28 Icontrol Networks, Inc. Premise management systems and methods
US20170180198A1 (en) 2008-08-11 2017-06-22 Marc Baum Forming a security network including integrated security system components
US11496568B2 (en) 2005-03-16 2022-11-08 Icontrol Networks, Inc. Security system with networked touchscreen
US10999254B2 (en) 2005-03-16 2021-05-04 Icontrol Networks, Inc. System for data routing in networks
US9306809B2 (en) 2007-06-12 2016-04-05 Icontrol Networks, Inc. Security system with networked touchscreen
US20110128378A1 (en) 2005-03-16 2011-06-02 Reza Raji Modular Electronic Display Platform
GB0512744D0 (en) 2005-06-22 2005-07-27 Blackspider Technologies Method and system for filtering electronic messages
US8478986B2 (en) * 2005-08-10 2013-07-02 Riverbed Technology, Inc. Reducing latency of split-terminated secure communication protocol sessions
US8613071B2 (en) * 2005-08-10 2013-12-17 Riverbed Technology, Inc. Split termination for secure communication protocols
US8438628B2 (en) * 2005-08-10 2013-05-07 Riverbed Technology, Inc. Method and apparatus for split-terminating a secure network connection, with client authentication
US8453243B2 (en) 2005-12-28 2013-05-28 Websense, Inc. Real time lockdown
JP4634320B2 (ja) * 2006-02-28 2011-02-16 株式会社日立製作所 対異常通信防御を行うための装置とネットワークシステム
US8782393B1 (en) 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
US7966659B1 (en) 2006-04-18 2011-06-21 Rockwell Automation Technologies, Inc. Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like
US10079839B1 (en) 2007-06-12 2018-09-18 Icontrol Networks, Inc. Activation of gateway device
US12063221B2 (en) 2006-06-12 2024-08-13 Icontrol Networks, Inc. Activation of gateway device
JP5060081B2 (ja) * 2006-08-09 2012-10-31 富士通株式会社 フレームを暗号化して中継する中継装置
US20080059788A1 (en) * 2006-08-30 2008-03-06 Joseph John Tardo Secure electronic communications pathway
US7853691B2 (en) * 2006-11-29 2010-12-14 Broadcom Corporation Method and system for securing a network utilizing IPsec and MACsec protocols
US9654495B2 (en) 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
US20080137863A1 (en) * 2006-12-06 2008-06-12 Motorola, Inc. Method and system for using a key management facility to negotiate a security association via an internet key exchange on behalf of another device
KR20080057161A (ko) * 2006-12-19 2008-06-24 주식회사 케이티프리텔 점대점 터널링 통신을 위한 침입 방지 장치 및 방법
US20110044338A1 (en) * 2006-12-20 2011-02-24 Thomas Anthony Stahl Throughput in a lan by managing tcp acks
GB2458094A (en) 2007-01-09 2009-09-09 Surfcontrol On Demand Ltd URL interception and categorization in firewalls
GB2445764A (en) 2007-01-22 2008-07-23 Surfcontrol Plc Resource access filtering system and database structure for use therewith
US11706279B2 (en) 2007-01-24 2023-07-18 Icontrol Networks, Inc. Methods and systems for data communication
AU2008214131B2 (en) 2007-02-02 2012-06-14 Websense, Inc. System and method for adding context to prevent data leakage over a computer network
US7644187B2 (en) * 2007-02-02 2010-01-05 Harris Corporation Internet protocol based encryptor/decryptor two stage bypass device
US7633385B2 (en) 2007-02-28 2009-12-15 Ucontrol, Inc. Method and system for communicating with and controlling an alarm system from a remote server
US8451986B2 (en) 2007-04-23 2013-05-28 Icontrol Networks, Inc. Method and system for automatically providing alternate network access for telecommunications
GB0709527D0 (en) 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US10498830B2 (en) 2007-06-12 2019-12-03 Icontrol Networks, Inc. Wi-Fi-to-serial encapsulation in systems
US11237714B2 (en) 2007-06-12 2022-02-01 Control Networks, Inc. Control system user interface
US10616075B2 (en) 2007-06-12 2020-04-07 Icontrol Networks, Inc. Communication protocols in integrated systems
US10423309B2 (en) 2007-06-12 2019-09-24 Icontrol Networks, Inc. Device integration framework
US11316753B2 (en) 2007-06-12 2022-04-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US10523689B2 (en) 2007-06-12 2019-12-31 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US12003387B2 (en) 2012-06-27 2024-06-04 Comcast Cable Communications, Llc Control system user interface
US11089122B2 (en) 2007-06-12 2021-08-10 Icontrol Networks, Inc. Controlling data routing among networks
US10389736B2 (en) 2007-06-12 2019-08-20 Icontrol Networks, Inc. Communication protocols in integrated systems
US11601810B2 (en) 2007-06-12 2023-03-07 Icontrol Networks, Inc. Communication protocols in integrated systems
US11646907B2 (en) 2007-06-12 2023-05-09 Icontrol Networks, Inc. Communication protocols in integrated systems
US11212192B2 (en) 2007-06-12 2021-12-28 Icontrol Networks, Inc. Communication protocols in integrated systems
US10666523B2 (en) 2007-06-12 2020-05-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US11423756B2 (en) 2007-06-12 2022-08-23 Icontrol Networks, Inc. Communication protocols in integrated systems
US11218878B2 (en) 2007-06-12 2022-01-04 Icontrol Networks, Inc. Communication protocols in integrated systems
US7894420B2 (en) * 2007-07-12 2011-02-22 Intel Corporation Fast path packet destination mechanism for network mobility via secure PKI channel
US8547899B2 (en) 2007-07-28 2013-10-01 Ruckus Wireless, Inc. Wireless network throughput enhancement through channel aware scheduling
US11831462B2 (en) 2007-08-24 2023-11-28 Icontrol Networks, Inc. Controlling data routing in premises management systems
US8355343B2 (en) 2008-01-11 2013-01-15 Ruckus Wireless, Inc. Determining associations in a mesh network
US11916928B2 (en) 2008-01-24 2024-02-27 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US8370948B2 (en) 2008-03-19 2013-02-05 Websense, Inc. System and method for analysis of electronic information dissemination events
US9015842B2 (en) 2008-03-19 2015-04-21 Websense, Inc. Method and system for protection against information stealing software
US9130986B2 (en) 2008-03-19 2015-09-08 Websense, Inc. Method and system for protection against information stealing software
US8407784B2 (en) 2008-03-19 2013-03-26 Websense, Inc. Method and system for protection against information stealing software
JP4926113B2 (ja) * 2008-04-07 2012-05-09 三菱電機株式会社 モバイルルータアドホックネットワーク通信システム
US20170185278A1 (en) 2008-08-11 2017-06-29 Icontrol Networks, Inc. Automation system user interface
EP2308212A4 (en) 2008-07-14 2016-06-22 Riverbed Technology Inc METHODS AND SYSTEMS FOR SECURE COMMUNICATIONS USING LOCAL CERTIFICATION AUTHORITY
US11758026B2 (en) 2008-08-11 2023-09-12 Icontrol Networks, Inc. Virtual device systems and methods
US11258625B2 (en) 2008-08-11 2022-02-22 Icontrol Networks, Inc. Mobile premises automation platform
US11729255B2 (en) 2008-08-11 2023-08-15 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US11792036B2 (en) 2008-08-11 2023-10-17 Icontrol Networks, Inc. Mobile premises automation platform
JP5129887B2 (ja) * 2008-08-22 2013-01-30 マーベル ワールド トレード リミテッド 高精度時間プロトコルおよび媒体アクセス制御セキュリティをネットワークエレメントに統合するシステム
US9444823B2 (en) * 2008-12-24 2016-09-13 Qualcomm Incorporated Method and apparatus for providing network communication association information to applications and services
JP2010200300A (ja) * 2009-01-28 2010-09-09 Meidensha Corp Tcp通信方式
US8707043B2 (en) * 2009-03-03 2014-04-22 Riverbed Technology, Inc. Split termination of secure communication sessions with mutual certificate-based authentication
US8638211B2 (en) 2009-04-30 2014-01-28 Icontrol Networks, Inc. Configurable controller and interface for home SMA, phone and multimedia
US9130972B2 (en) 2009-05-26 2015-09-08 Websense, Inc. Systems and methods for efficient detection of fingerprinted data and information
CN101925059B (zh) * 2009-06-12 2014-06-11 中兴通讯股份有限公司 一种切换的过程中密钥的生成方法及系统
EP2443779B1 (en) 2009-06-19 2020-08-05 BlackBerry Limited Uplink transmissions for type 2 relay
US9979626B2 (en) 2009-11-16 2018-05-22 Ruckus Wireless, Inc. Establishing a mesh network with wired and wireless links
WO2011060454A2 (en) 2009-11-16 2011-05-19 Ruckus Wireless, Inc. Establishing a mesh network with wired and wireless links
US8700892B2 (en) 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
US8836467B1 (en) 2010-09-28 2014-09-16 Icontrol Networks, Inc. Method, system and apparatus for automated reporting of account and sensor zone information to a central station
US9124518B2 (en) * 2010-11-16 2015-09-01 Hitachi, Ltd. Communication device and communication system
US11750414B2 (en) 2010-12-16 2023-09-05 Icontrol Networks, Inc. Bidirectional security sensor communication for a premises security system
US9147337B2 (en) 2010-12-17 2015-09-29 Icontrol Networks, Inc. Method and system for logging security event data
GB2500720A (en) * 2012-03-30 2013-10-02 Nec Corp Providing security information to establish secure communications over a device-to-device (D2D) communication link
JP6236933B2 (ja) * 2013-07-02 2017-11-29 富士通株式会社 中継装置
US11405463B2 (en) 2014-03-03 2022-08-02 Icontrol Networks, Inc. Media content management
US11146637B2 (en) 2014-03-03 2021-10-12 Icontrol Networks, Inc. Media content management
US9397939B2 (en) 2014-06-24 2016-07-19 International Business Machines Corporation Hybrid approach for performance enhancing proxies
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
US9967077B2 (en) * 2015-10-22 2018-05-08 Harris Corporation Communications device serving as transmission control protocol (TCP) proxy
JP6145190B1 (ja) * 2016-03-02 2017-06-07 チエル株式会社 中継装置、中継方法及び中継プログラム
CN107070599B (zh) * 2017-04-06 2019-11-15 中国人民解放军理工大学 一种长距离链路变速率选择重传方法
US20210392121A1 (en) * 2020-06-11 2021-12-16 Microsoft Technology Licensing, Llc Ike and ipsec state migration
CN115296939A (zh) * 2022-10-09 2022-11-04 中国电子科技集团公司第三十研究所 解决虚拟机迁移与IPsec机制冲突的方法、设备及介质

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5416842A (en) * 1994-06-10 1995-05-16 Sun Microsystems, Inc. Method and apparatus for key-management scheme for use with internet protocols at site firewalls
JP3492865B2 (ja) * 1996-10-16 2004-02-03 株式会社東芝 移動計算機装置及びパケット暗号化認証方法
JP3482091B2 (ja) * 1997-01-09 2003-12-22 株式会社東芝 通信装置
JP3641112B2 (ja) * 1997-09-05 2005-04-20 株式会社東芝 パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法
JP3949288B2 (ja) * 1997-09-22 2007-07-25 株式会社東芝 ゲートウェイ装置及び無線端末装置
US6438612B1 (en) * 1998-09-11 2002-08-20 Ssh Communications Security, Ltd. Method and arrangement for secure tunneling of data between virtual routers
US6507908B1 (en) * 1999-03-04 2003-01-14 Sun Microsystems, Inc. Secure communication with mobile hosts

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011505736A (ja) * 2007-11-29 2011-02-24 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Imsシステムにおけるエンド・ツー・エッジのメディア保護のための方法および装置
US8549615B2 (en) 2007-11-29 2013-10-01 Telefonaktiebolaget L M Ericsson Method and apparatuses for end-to-edge media protection in an IMS system
US8832821B2 (en) 2007-11-29 2014-09-09 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatuses for end-to-edge media protection in an IMS system
JP2011508550A (ja) * 2007-12-26 2011-03-10 インターナショナル・ビジネス・マシーンズ・コーポレーション セキュリティ実施ポイントへのセキュリティ・アソシエーション情報の選択的ロードのための方法、装置、およびコンピュータ・プログラム

Also Published As

Publication number Publication date
US20010047474A1 (en) 2001-11-29
US7143282B2 (en) 2006-11-28
JP2001333110A (ja) 2001-11-30

Similar Documents

Publication Publication Date Title
JP3730480B2 (ja) ゲートウェイ装置
Loughney et al. Context transfer protocol (CXTP)
US7028183B2 (en) Enabling secure communication in a clustered or distributed architecture
KR100679882B1 (ko) 사설 네트워크와 로밍 모바일 단말 사이의 통신
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
US9300634B2 (en) Mobile IP over VPN communication protocol
US20060182083A1 (en) Secured virtual private network with mobile nodes
US20070214502A1 (en) Technique for processing data packets in a communication network
WO2001054379A1 (en) A secure communication method for mobile ip
Kim et al. TCP-GEN framework to achieve high performance for HAIPE-encrypted TCP traffic in a satellite communication environment
Hohendorf et al. Secure End-to-End Transport Over SCTP.
Isci et al. Ipsec over satellite links: a new flow identification method
Choi et al. Mobile multi-layered IPsec
Hohendorf et al. Secure end-to-end transport over sctp
Parichehreh et al. VPN over satellite: Performance improving of E2E secured TCP flows
Thanthry et al. A novel mechanism for improving performance and security of tcp flows over satellite links
Pauly et al. TCP encapsulation of IKE and IPsec packets
Luglio et al. Network security and performance evaluation of ML-IPSec over satellite networks
Schloer ML-IPsec-A Multi-Layered IPsec Protocol in Wireless Networks
Brower et al. Integrating header compression with ipsec
Pauly et al. RFC 8229: TCP Encapsulation of IKE and IPsec Packets
Alshalan MobiVPN: Towards a Reliable and Efficient Mobile VPN
Protocol Network Working Group J. Loughney, Ed. Request for Comments: 4067 M. Nakhjiri Category: Experimental C. Perkins R. Koodli July 2005
Obanaik et al. SPEP: A secure and efficient scheme for bulk data transfer over wireless networks
OBANAIK Performance and security issues of TCP bulk data transfer in a last mile wireless scenario-investigations and solutions

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040929

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041005

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041206

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20041221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050118

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050318

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051006

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081014

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091014

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101014

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111014

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111014

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121014

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131014

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees