CN1754351A - 一种用于在网络中证实可达性的通信模型、信号、方法和设备 ,在该网络中,通过将静态标识符与动态分配的网络地址彼此相关联来获得主机可达性 - Google Patents

一种用于在网络中证实可达性的通信模型、信号、方法和设备 ,在该网络中,通过将静态标识符与动态分配的网络地址彼此相关联来获得主机可达性 Download PDF

Info

Publication number
CN1754351A
CN1754351A CNA200380109971XA CN200380109971A CN1754351A CN 1754351 A CN1754351 A CN 1754351A CN A200380109971X A CNA200380109971X A CN A200380109971XA CN 200380109971 A CN200380109971 A CN 200380109971A CN 1754351 A CN1754351 A CN 1754351A
Authority
CN
China
Prior art keywords
communication node
accessibility
indirectly
another angle
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA200380109971XA
Other languages
English (en)
Other versions
CN1754351B (zh
Inventor
福嶋一
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Publication of CN1754351A publication Critical patent/CN1754351A/zh
Application granted granted Critical
Publication of CN1754351B publication Critical patent/CN1754351B/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5076Update or notification mechanisms, e.g. DynDNS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种用于在网络中证实可达性的通信模型、信号、方法和设备,在该网络中,通过将静态标识符与动态分配的网络地址彼此相关联来获得主机可达性在一种网络中,通过将静态标识符与动态分配的网络地址彼此相关联来获得主机可达性,通信节点的活和死(live/death)以及可达性通过使用一个符号和计数符号来确认。

Description

一种用于在网络中证实可达性的通信模型、信号、方法和设备,在该 网络中,通过将静态标识符与动态分配的网络地址彼此相关联来获得主机 可达性。
技术领域
本发明涉及一种在存储-转发通信网络中,用于解决在发现目标终端过程中的不足的通信模型、信号、方法和设备。
特别是,通过将静态标识符转换为动态分配的网络地址,将针对目标终端的可达性提供给源站(originator);在源站针对目标终端具有错误的可达性这种情形、与源站针对目标终端具有正确的可达性这种情形之间做出清楚的区别。
背景技术
(专利文献1)专利国际公布2001-519607或者WO99/18515(因特尔公司,USA):Method and device for translating a static identifyierto a dynamically assigned network adderss
(专利文献2)专利Kokai2001-135301(NTT):IP adderssinformation notification method,IP adderss informationnotification device,and storage media storing this program
(专利文献3)专利Kokai2002-318737(Index):Management server
(专利文献4)专利Kokai2002-281032(Toshiba):Monitoring targetswitching program/method,and monitoring system
(专利文献5)专利KokaiH7-200502(Omron):Redundant device fortransaction processing system
因特网由多个计算机和多个计算机网络(下文中称为“网络”)组成。这些计算机使用TCP/IP协议、经由通信链路在全球范围内相互连接。这些互连的计算机使用诸如电子邮件、Gopher及万维网(WWW)这样的多种服务来交换信息。
使用由具有分配网络地址任务的组织分配的唯一的IP地址来标识因特网上的主机。将该IP地址表示为容易由计算机处理的固定长度的数字;在输入不出错的情况下,人们很难记住长的数字IP地址。IP地址至少需要对TCP/IP网络上的主机进行标识,但使用数字IP地址标识主机对人们来说很难;为了解决这个问题,使用域名***(下文中称为“DNS”)来标识主机。
DNS并不是基于像IP地址这样的数字;而是使用由数据库***提供的有意义的字符串来标识因特网上的主机。DNS配置分层的名字空间,其中登记有称为域名的字符串,并且通过将域名与IP地址相关联来标识因特网上的主机。这称为前向名字解析。同时,从IP地址中搜索域名称为反向名字解析。DNS的特征是:在顶端具有根服务器的一种结构树分布式数据库。IP地址经历路由限制(IP地址是IP地址***中的位置信息),但DNS中的名字可以在不考虑网络上主机位置的情形下存在。
通常,永久连接到因特网并分配了IP地址的各个用户组织通过域名登记组织来登记域名,该域名登记组织为用户组织管理(operate)域名。域名管理服务器称为DNS服务器。为了登记DNS服务器,通过域名登记组织来规定IP地址和主机名。
根服务器将域名管理权限传递到第一级DNS服务器,并依次将域名管理权限传递到第二级DNS服务器,最后,紧邻在先级别的DNS服务器将域名管理权限传递到用于分配了IP地址的所述用户组织的DNS服务器。图17示出了DNS搜索顺序。用于各个分配了IP地址的用户组织的DNS服务器执行实际的设置,诸如将主机名和IP地址与域名相关联,并且规定邮件路由。
利用常规的DNS来手动设置并更新设置文件。然而近来,将单个主机名和单个IP地址彼此静态地相关联已经变得很困难,因为动态主机配置协议(DHCP)的普及,所以每次在启动Window(注册商标)时,内部LAN中的PC的IP地址都发生变化。动态DNS提供一种机制,利用该机制,通过来自客户的更新请求自动地更新DNS服务器的记录。当前,不仅在与因特网直接相连的网络(诸如内部LAN)中、而且还在因特网全球服务中对动态DNS的实用性进行验证。
当动态DNS在因特网全球服务中使用时,可能在(拨号)主机上提供因特网服务,该拨号主机不仅由网络分配组织不分配网络,而且还由提供商不分配一个永久分配的IP地址。
通常,拨号连接包括使呼叫连接到因特网的动作,但是近来,由于使用固定IP连接(称为永久连接)的接入链路(诸如电缆TV、数字用户线、光纤、卫星链路)广泛使用的原因,所以拨号连接没有必要请求发起一个呼叫。这意味着基于连接时间(小时)的计费不再盛行。然而,永久连接不同于使用租用线路的连接,因为由于故障原因而断开连接之后重新连接时,IP地址可能发生变化,这些故障诸如是路由器的电源故障、线路故障等,或者维修、或者由提供商断开线路或者拨号主机超时。在移动终端通过无线基站移动(切换)时,IP地址也可能发生变化。为了方便描述,这也被称为拨号,因为终端IP地址发生了变化。
通过比较由网络分配组织(典型地使用传统的租用线)分配的永久网络建立的连接、与通过提供商(或者通过分配了IP地址的各个用户组织)分配的永久IP地址建立的连接,本发明请求通过提供商(或者通过分配了IP地址的各个用户组织)分配一个IP地址来建立连接,(包括经由DHCP或PPPoE建立的连接,但不包括通过调制解调器进行的呼叫),即“拨号连接”。过渡IP地址的分配称为“执行过渡连接”,而过渡IP地址分配本身称为“拨号”。
动态DNS所特有的问题
熟知的DNS技术不能够使具有变化IP地址的主机提供因特网服务,但动态DNS能够使这些主机提供有限的因特网服务。(排除了全球DNS,因为其需要固定IP地址)。然而,动态DNS具有图1-12所说明的独特的问题。
图1管理目标装置(下文中为“T”)(4100)对提供商(下文中为“P”)(4000)进行拨号(包括经由PPPoE等的拨号)。
图2P(4000)动态地为T(4100)分配一个IP地址(例如,172.16.100.100)。
图3T(4100)请求动态DNS服务器(下文中为“D”)(1000)更新DNS。然后,D(1000)将分配给T(4100)的IP地址(172.16.100.100)与T(4100)的主机名相关联并且进行设置。
图4T(4100)可以从一般的因特网用户(下文中为“S-2”)(5300)接收访问请求(正常状态)。
图5某种故障出现引起T(4100)到P(4000)的连接丢失。
图6重新进行T(4100)到P(4000)的连接(包括经由PPPoE等的重新连接)。
图7P(4000)动态地为T(4100)分配一个新的IP地址(172.16.200.10)。分配一个与直到IP地址出现变化时分配的IP地址不同的IP地址。
图8T(4100)为D(1000)发布一个更新请求。然后,D(1000)对分配给T(4100)的IP地址(172.16.200.10)和T(4100)的主机名进行设置。
图9在图7中,为T(4100)分配一个不同于在先分配的IP地址(172.16.100.100)的IP地址(172.16.200.10),该IP地址(172.16.100.100)被分配给相同提供商的另一个用户T′(下文中为“T”)(4200)。在这种情况下,从S-2(5300)看来,主机好像已经变换。
图10在因特网上,参考DNS不能是D(1000);其是直接与各个用户相连的提供商的DNS服务器(诸如4500或5500)。随后,即使正确地更新D(1000),也不会执行从提供商的DNS服务器(诸如4500或5500)到缓冲TTL内的D(1000)的名字查询,该DNS服务器直接与各个用户相连,所以,要求在这些DNS服务器中要有一段时间反映T(4100)的IP地址(172.16.200.10)。
DNS服务器(诸如4500或5500)在某段时期内在本地存储被查询的源记录。这种存储称为缓冲。缓冲中的源记录仅在规定的TTL(生存期)周期中存储,并且在该周期过去之后删除。该周期称为缓冲TTL。在缓冲TTL期间,DNS服务器(诸如4500或5500)通过参考本地缓冲存储器来执行名字解析,以响应来自解析器(诸如4100或4200、或5300)的查询。通过抑制重复的名字查询来设计这种缓冲方法,以改善效率。然而,D(1000)将不适用,因为正如下面所解释的,该缓冲不能跟随T(4100)的IP地址中的变化。
图16示出了如何从S-2(5300)搜索DNS以到达目标主机T(4100)。
(1):从S-2(5300)到P-2DNS(下文中为“P-2-D”)(5500)来执行针对T(4100)的前向名字查询。
(2):首先,P-2-D(5500)检查其是否“知道”目标域名;如果知道,就立即将目标主机T(4100)的IP地址返回到S-2(5300)。当P-2-D(5500)“知道”目标域名时,存在一种情况,即通过P-2-D(5500)来管理名字,同时目标主机T(4100)的IP地址被缓冲到P-2-D(5500)中。图17示出了P-2-D(5500)不“知道”目标域名的情形。
(3):在上述步骤(2)中,S-2(5300)可以确定T(4100)的IP地址。S-2(5300)使用该IP地址来访问T(4100)。
图17示出了在P-2-D(5500)不对T(4100)的域进行管理时、以及在P-2-D(5500)不具有IP地址缓冲(在第一次名字查询处)(图16中的步骤(2))时的DNS搜索顺序。
(1):从S-2(5300)到P-2-D(5500)来执行针对T(4100)的前向名字查询。
(2):当P-2-D(5500)不对T(4100)的域(目标域名)进行管理、同时也不能在缓冲中找到IP地址时,该P-2-D(5500)对根DNS执行名字查询。
(3):根DNS返回JP DNS的位置,例如在T(4100)的域名是JP域时。(如果T(4100)的域名不是JP域,则根DNS将用于管理ccTLD或gTLD的名字服务器的位置返回到P-2-D(5500)。)
(4):P-2-D(5500)向上述步骤(3)中获得的JP域DNS执行针对T(4100)的域名(目标域名)的名字查询。
(5):JP域DNS将用于管理目标主机T(4100)域名的服务器(这里是D(1000))位置返回到P-2-D(5500)。(立即将所述位置返回,因为JP下的域是在JPNIC登记的树型结构和成员服务器,而并没有被划分为第二级DNS。)
(6):P-2-D(5500)将T(4100)的名字用作关键字,向步骤(5)中获得的D(1000)执行针对IP地址的前向名字查询。
(7):D(1000)将T(4100)的位置返回到P-2-D(5500)。
(8):P-2-D(5500)将在步骤(7)中获得的T(4100)的位置返回到S-2(5300)。
(9):S-2(5300)访问T(4100)。
图18通常执行设置,以使得通过第一次名字查询对DNS(诸如4500或5500)进行缓冲,然后当缓冲TTL逝去时,使该缓冲无效。当缓冲无效时,获取T(4100)的正确的IP地址,并且执行到D(1000)的名字查询。然而,当T(4100)的IP地址变化,同时该缓冲有效时(图16),返回未执行到D(1000)名字查询的、被缓冲的IP地址。换句话说,被返回的IP地址(被缓冲)是在执行图18所示的更新之前的地址(172.16.100.100)。正如图16的步骤(2)中所描述的,在连接到S-2(5300)的P-2-D(5500)正在操作T(4100)域时,不会出现缓冲的问题。
图11因此,从因特网可以看到,当参考缓冲时,可能错误地将T′(4200)识别为T(4100)。
同时,甚至当T(4100)是具有电子邮件或WWW服务器功能的主机时,T′(4200)是没有进行电子邮件服务器或WWW服务器设置的主机(或者即使T′(4200)是设置了电子邮件或WWW服务器功能的主机),针对T′(4200)的设置不同于针对T(4100)的设置,所以T(4100)像是非正常状态(故障状态)。
图12当缓冲TTL逝去时,各个因特网上的提供商的DNS服务器(诸如4500或5500)再次向D(1000)执行名字查询时,解决该问题。因此,如图12所示,随着时间的逝去,会出现正常状态。
接下来,图1-5和图13-14示出了没有重新连接(保持断开)T(4100)的情形。与正常的情形一样,其基于时间返回到正常状态(图1-12)。
针对该问题可能的原因包括线路或程序故障(执行过渡连接或动态DNS更新)。
图1-5中给出的解释与较早前给出的解释相同。(略过图6-12中给出的解释是有关缓冲的问题。)
图13同时,T(4100)没有连接到因特网,因此当T′(4200)执行过渡连接时,P(4000)将IP地址(例如,172.16.100.100)分配给T′(4200),该IP地址已分配给T(4100),直到该IP地址出现变化为止。
图14不能够执行针对设置到D(1000)的T(4100)的IP地址的更新,所以在T(4100)断开之前,保持T(4100)的IP地址(例如,172.16.100.100)的设置。因此,在这种情况下,也将T′(4200)错误地识别为T(4100)。
顺便提及,线路断开在T(4100)处是一可检测事件,同时也是一种外部环境中的变化。
下面的表01根据T(4100)的状态与其分配的IP地址之间的关系示出了在T(4100)处出现的故障模型。
表01
Figure A20038010997100161
 后重新连接(模型3)   没有执行缓冲   OK   OK(图12)
模型1示出了在线路保持断开连接时的情形。在线路断开之后,T(4100)不能进行重新连接时,在将线路断开之前出现的、分配给T(4100)的IP地址分配给T′(4200)时,会出现错误的识别。当没有将IP地址分配给任何主机时,T(4100)是不可访问的。不可访问意味着目标主机T(4100)的状态为失去联系或不可达到。当线路保持断开连接时,T(4100)当然不能执行对DNS服务器(诸如4500或5500)的再次更新。
模型2示出了对DNS执行动态更新的故障,该故障是由对T(4100)进行动态更新的程序故障或在D(1000)处的故障引起的。在这种情况下,线路要么被假定为连接,要么被假定为重新连接(如果断开连接的话)。在模型2中,与利用模型1相同的是,在将线路断开之前分配给T(4100)的IP地址分配给T′(4200)时,会出现错误识别,其中在线路断开连接或保持断开连接之后,T(4100)不能进行重新连接。在没有将IP地址分配到任何主机时,T(4100)不能被访问。当所分配的IP地址没有变化时,不存在来自S-2(5300)的通信问题,所以T(4100)似乎处于正常状态。
模型3示出了在线路断开之后重新连接时的情形。阴影部分是由缓冲TTL影响的;其它部分示出了:由于未执行缓冲而正确地执行名字查询时的情形。访问T(4100)的S-2(5300)是一般的因特网用户。这种情形是否包括在阴影部分取决于S-2(5300)是否具有先前执行的名字参照(name referencing),以及如果有,则无论是否执行名字查询,都将执行缓冲。
表01中的阴影部分示出了:尽管T(4100)在线路断开之后正确地操作T(4100)重新连接,并且(正确地)执行对D(1000)的更新,但T(4100)似乎仍处于临时故障状态中,因为DNS服务器(诸如4500或5500)正在对T(4100)的IP地址进行缓冲。
上面的说明示出了D(1000)存在不足,即缓冲机制不能够跟随T(4100)的IP地址中的变化。
这是因为动态DNS机制是传统DNS的扩展的原因。
如较早前所述,对传统的DNS手动进行设置和更新。上面的说明示出了:当D(1000)被使用、同时T(4100)以短时间间隔对D(1000)执行更新时,有时通过执行(正常地)对D(1000)的参考而获得的T(4100)的IP地址不正确。
在T(4100)线路断开间隔,S-2(5300)总是将T′(4200)错误地识别为T(4100),以及在超过缓冲TTL之后,T(4100)的IP地址更新间隔与对D(1000)的名字查询定时相比较特别短。在可能由不稳定线路引起的情况下,DNS应当起作用,但D(1000)在这种情况下不起作用,可能会造成故障状态。
该问题是整个因特网上的DNS问题,并且通过单个设备(在单主机上)不可能解决。
缓冲问题的实际例子
下面来说明缓冲问题的一个实际例子。
图19-21示出了一个实际的例子,其中在缓冲TTL期间通过参考被缓冲的DNS(在4500进行测量)而获得的T(4100)IP地址,与通过对D(1000)直接执行前向名字解析而获得的T(4100)IP地址不同。
图19示出了在实际测量中使用的程序。该程序是外壳文稿程序(shell script)。在行端的箭头(→)表示:仅出于方便显示的目的而对该行进行回车(return)。实际上该行继续延伸。
图20-21示出了测量结果。在各项试验中,第一行表示试验编号;第二行表示试验时间;第三行表示T(4100)IP地址(a、c、e),该地址是通过使用ISC BIND的dig命令来参考D(1000)所获得的结果执行字符串处理而提取的,该dig命令是标准的用于DNS的实现方式;以及第四到第六行表示通过参考P DNS服务器而获得的T(4100)IP地址(b、d、f),被缓冲的DNS(下文中为“P-D”)(4500)使用ping命令。(注意:P-D(4500)是通常由T(4100)参考的DNS服务器。这里,在T(4100)执行测试,所以参考P-D(4500),但是当在S-2(5300)执行测试时,将参考P-2-D(5500)。通过解析器来确定在各个终端参考的DNS。)第七到第十行表示附带输出的ping命令。
在试验中使用的DNS服务器D(1000)是DynDNS.org,其已经将动态DNS作为主机。在该试验中,服务器缓冲TTL是1分钟,相当短的时间。
从与第一次试验共同作用的T(4100)发送更新请求,并且在第一和第二次试验之间完成该更新。随后,根据第二次试验,dig命令输出(由D(1000)表示的T(4100)IP地址),以及ping命令输出(在该试验中参考P-D(4500),但通过缓冲TTL来影响该P-D(4500))分别表示不同的IP地址(将“加下划线部分a=加下划线部分b”变为“加下划线部分c≠加下划线部分d”)。
仅在第二次试验之后1分钟执行的试验16解决了该问题(“加下划线部分e=加下划线部分f”)。
如上所述,缓冲TTL影响被参考的DNS服务器,造成地址的不一致。但是,随着次数的增加会解决该问题。在D(1000)处的缓冲TTL较短(1分钟),但地址不一致仍然会出现。
共同的误解
该问题对于动态DNS是独特的,但通常并不是熟知的,甚至某些专利申请还包含了一些误解。
例如,专利文献3中的0047段提到“答复nslookup变得异常”。
然而这不真实,出于两个原因:1.因为答复nslookup并不是一个错误。(专利文献3示出没有根据地确定了该答复是异常的,尽管答复nslookup并不是一个错误。)2.DNS返回用来响应nslookup查询的数据是最后更新的IP地址,即使在假定T(4100)丢失的情况下(或者该数据正在由T′(4200)使用)。(该IP地址可以是一个缓冲地址或者是取决于被查询的DNS服务器的地址。任何情况都存在一个问题)。
在这种情况下,就不能简单地确定答复是异常的;这样一种确定要求合理应用的比较判断。换句话说,为了检测由DNS返回的IP地址是异常的,必须执行可达性证实,以确定由DNS指出的IP地址是由T(4100)本身使用还是由除了T(4100)之外的主机(诸如T′(4200))使用。
同样的方法还应用于当通过T(4100)来执行显式脱机(explicitoffline)处理时的情形。这种情形具有不会使T′(4200)出现的效果。然而,因为nslookup答复不是一个错误,所以这种情形要求有关该组IP地址的合理应用的比较判断。同样应当注意,T(4100)通常不在故障(包括线路故障)情况下执行脱机处理。
假定S-2(5300)或管理服务器(下文中为“S-1”)(2000)存储T(4100)中的在先IP地址,则众所周知,通过比较在先IP地址和作为nslookup答复返回的IP地址来更新IP地址。然而,出于原因2中所述的理由,还不能确定被更新的IP地址是否反映了当前状态。换句话说,还可以由缓冲问题影响这种情形;当T(4100)不能对D(1000)执行更新处理时(例如,当线路仍旧断开或在更新程序中出现故障时),由D(1000)作为T(4100)的IP地址返回的值不可靠。换句话说,可以返回不再由T(4100)使用的IP地址。
然而,专利文献3似乎还陈述了一种情况,即T(4100)本身比较对nslookup的答复与自身主机T(4100)(专利文献3中的分布式服务器3)的IP地址。在这种情况下,可能确定nslookup答复是异常的,因为T(4100)简单地比较自身主机的IP地址与nslookup结果。(然而,这种比较操作对于稍后将要描述的连接配置1到3来说是可能的)。然而,除了分布式服务器3之外的其它主机不能确定该答复是否异常。换句话说,仅有分布式服务器3能够确定该答复是否异常。然而,对应于分布式服务器3的T(4100)能够确定其自身的IP地址是显而易见的。本发明的目的是,对于S-2(5300)来说,对源站是否正确到达T(4100)进行证实是可能的。
对于分布式服务器3来说,应当认为,使用IP地址中的变化将IP地址更新请求发送到动态DNS服务器要比执行nslookup更好,该IP地址作为触发器被分配给分布式服务器3。
此外,专利文献3中的0048段提到“例如,对ICMP(因特网控制报文协议)的答复丢失”。然而,该答复不可能被丢失;在这种情况下,答复是不明确地。ICMP被认为是ICMP回声请求。这可以从命令执行中导出,通常称作ping。
定时问题:
例如,在T(4100)一进入线路断开连接状态之后,P(4000)从除了T(4100)之外的其它主机接收连接请求时,很可能在将IP地址分配给该终端之前,将其分配给T(4100)。然后,T′(4200)出现,并且ping命令显示T(4100)处于有效状态。从而可以返回一个答复。
例如,当试验计数是2(图20示出了缓冲问题的一个实例)时,应当注意在图20中的值c和d不同。
在从试验计数1到试验计数2的时间期间,T(4100)从图4所示的正常状态变到图5所示的断开连接状态,然后进行重新连接以进入图8所示的状态。当图9所示的另一个用户拨号时,T′(4200)出现,因为T(4100)被变换到T′(4200),同时到DNS服务器的前向名字解析显示在IP地址中没有变化。自然地,从T′(4200)“返回一个ping答复”。如果定时匹配,则ping答复将连续不断地被转到T′(4200)。
此外,“返回一个ping答复”并不意味着T(4100)(专利文献3中的分布式服务器3)处于正常状态中。在这种情况下,由于在T(4100)返回到正常状态时对DNS进行更新,所以问题会很快得到解决,甚至考虑到缓冲的问题。然而,最大的问题是T(4100)仍保持在图5所示的状态中,而且不能变化到图6所示的状态或者随后的状态(意味着故障出现)。与缓冲问题不同,一旦另一个用户的T′(4200)出现(图13和图14),T(4100)就继续处于正常状态中,从T′(4200)接收ping答复。
因此,即使假定识别了由摄像机拍摄的移动物体的尺寸,机器仍然不能识别该物体是狗、孩子、还是球。但观众能够识别该图像(移动物体)。同样,nslookup或者ping不能解决这个问题,而且该状态被当作是正常的(专利文献3公开了该状态是异常的)。
特别是,如果在某人访问Mr.A的网页时显示Mr.B的网页,则观众会立即识别出错误,但DNS服务器和其它的机器则不能。
因此,在不证实可达性的情况下,这些机器不能够在具有正确可达性的T(4100)和被错误标识为T(4100)的主机的T′(4200)之间做出区分。
因此,暂时(transiently)分配了动态IP地址的主机存在一个问题,即尽管进行正确的操作,但似乎仍处于将来的状态中,因此,其它通信终端(应当从这些通信终端发起呼叫)的识别是不充分的,这种识别似乎随着动态DNS的出现而完成。
动态DNS所特有的问题概要
这里概括了动态DNS所特有的问题。
概括1:D(1000)继续宣布最终更新的资源记录,即使在T(4100)中断连接之后。如果T(4100)执行显示脱机(explicit offline)处理,则D(1000)将不会继续宣布并不存在的有关T(4100)的信息。然而,当T(4100)出现故障或线路断开连接时,该T(4100)就不能执行脱机处理。
概括2:当T(4100)的IP地址改变时,在缓冲TTL期间会出现错误识别。
可扩展的相关技术的范围
我们已经讨论了用于发现目标终端的动态DNS的不足。然而,类似的问题在除了动态DNS以外的***中也存在。在专利文献1、专利文献2和ENUM中描述了例子。
ENUM是将传统电话网络(PSTN)中的电话号码体系映射到DNS上的动态DNS的一种扩展。
专利文献1增加了用户位置服务器的概念,但可以认为类似于ENUM。
专利文献2提出了一种特殊的映射通知***,该***用于定位主机的静态标识符和动态分配地址(但不使用DNS)。
正如在所述概要1中所陈述的,由于“D(1000)即使在T(4100)不再连接之后,还继续宣布最终更新的资源记录”,所以会出现错误标识,专利文献1和2公开了解决该问题的一种具体方法。在专利文献1中,通过从终端将继续(keep alive)信号发送到DNS来通知终端仍然有效这样的事实。在专利文献2中,从DNS的等价物(equivalent)到T的等价物来执行正常检查,以检测T的等价物没有连接的状态是否出现。
在这两种情况中,当目标终端不在网络上时,删除映射通知***中的相应的记录,使得源终端(originator terminal)永不发现目标终端。
然而,在这两种情况中,没有验证从第三方终端S到T(4100)的可达性的正确性(端到端的可达性没有验证)。
[本发明要解决的问题]
即使在S-2(5300)将主机识别为T(4100)时,实际的主机还可以是其它主机。本发明提供了一种用于证实被识别为T(4100)的主机实际上为T的装置。换句话说,源端正确地到达了目的端T(4100),而不是T′(4200)。
另外,本发明提出了如何来使用所述可达性证实的结果。
[本发明的效果]
通常,ping命令可用于监控在TCP/IP网络上分配了固定IP地址的主机是有效还是无效。然而,在拨号主机的IP地址改变时,如果另一个主机(除了T(4100)之外)答复ping命令,则ping命令确定T(4100)是否正常地操作。本发明检测T(4100)是否是具有正确可达性的主机,并且使得管理具有可变IP地址的主机成为可能,而预先管理某些主机是不可能的。按照惯例,正常的管理同样不会预先得到具有可变IP地址的主机的支持,但本发明允许正常的或更加先进的管理(诸如CPU负载和业务量的监控)。
附图描述
图1是示出了在T或者用户网络上拨号的图例;
图2是示出了在T或者用户网络上的地址分配的图例;
图3是示出了在T或者用户网络上的DNS更新的图例;
图4是示出了在T或者用户网络上的正常状态的图例;
图5是示出了在T或者用户网络上的线路断开的图例;
图6是示出了在T或者用户网络上的重新连接的图例;
图7是示出了在T或者用户网络上的地址再分配的图例;
图8是示出了在T或者用户网络上的DNS重新更新的图例;
图9是示出了主机似乎在T或者用户网络上被变换的状态的图例;
图10是示出了要在各个网络上参考的DNS的图例;
图11是示出了在T或者用户网络上的错误标识的图例;
图12是示出了在T或者用户网络上的正常状态(变换)的图例;
图13是示出了在T或者用户网络上的线路保持断开连接(在图6中或之后的其它模型)的状态的图例;
图14是示出了在T或者用户网络上,当线路保持断开连接或使用第二维护路径进行维护时出现的错误识别的图例;
图15是示出了T和D之间的对应关系的图例;
图16是示出了在对T进行正常的名字查询时(当缓冲有效时)的DNS搜索顺序的图例;
图17是示出了在对T进行正常的名字查询时(当缓冲无效时)的DNS搜索顺序的图例;
图18是示出了缓冲TTL的图例;
图19是示出了缓冲TTL的收敛(convergence)1(测量程序)的图例;
图20是示出了缓冲TTL的收敛1(测量结果1)的图例;
图21是示出了缓冲TTL的收敛4(持续的测量程序2)的图例;
图22是示出了通信模型的图例;
图23是示出了用于解决难题的手段的流程图;
图24是示出了用于解决难题的手段2(对于S204来说的可选处理)的流程图;
图25是示出了DIG命令正常输出的实例的图例;
图26是示出了DIG命令错误输出的实例的图例(当没有DNS服务器时);
图27是示出了DIG命令错误输出的实例的图例(当没有T时);
图28是示出了SNMP正常输出的实例的图例(当T具有正确可达性时);
图29是示出了SNMP错误输出的实例的图例(当主机错误时);
图30是示出了SNMP错误输出的实例的图例(当社区名不正确时);
图31是示出了SNMP错误输出的实例的图例(当所指定的目标ID不正确时);
图32是示出了用于设置BIND版本信息的设置文件中的变化的图例;
图33是示出了DIG命令正常输出的实例的图例;
图34是示出了DIG命令错误输出的实例的图例(当没有T时);
图35是示出了DIG命令错误输出的实例的图例(当参考另一个名字服务器时)。该图还示出了具有未设置版本信息的标准输出(正常)的一个实例;
图36是示出了在开始连接到SMTP服务器(SENDMAIL)时的示例性消息的图例;
图37是示出了用户网络的T上的连接配置的图例;
图38是示出了各个主机和网络之间的位置关系的图例;
图39是示出了使用所谓的ping替代物的本发明的操作和常规ping操作之间的差别的图例;
图40是示出了DNS更新脚本抽样(script sample)的图例;
图41是示出了客户一服务器模型中的合并效果的图例。
发明内容
下面的方法证实了源站正确地到达了其它被识别为T(4100)的通信终端。由S-1(2000)来使用从S-1(2000)到T(4100)进行通信的结果,以确定T(4100)是否是具有正确可达性的主机。
该方法由下面的两个步骤(外部主机间的通信)组成。
第一个步骤是地址验证,而第二个步骤是标记和确认(countersign)。
图23示出了在第一和第二步骤中,当S-1(2000)执行T(4100)的可达性证实时执行的操作。
地址验证形成了可达性证实所需的一对参数的其中一个(参见稍后描述的通信模型)。
在S202,从S-1(2000)到D(1000)执行前向名字查询,以避免缓冲TTL的问题。
在S204,从来自S202的答复中获得T(4100)的IP地址。
当S-1(2000)和D(1000)是同一个主机时,可以忽略T(4100)的IP地址的验证,将S-1(2000)处的解析器设置到D(1000),而D(1000)的TTL(缓冲生存期)相当短。
D(1000)可以冗余,但最好将一个冗余组考虑为相当于这里的单服务器。
第二个步骤是标记和确认。
由于可以忽略地址验证,所以也可严格地将该步骤定义为可达性证实。
当在S202和S204获得了T(4100)的IP地址时,还不清楚实际上是否将T(4100)标识为正确的T(4100)。当T(4100)和P(4000)之间出现线路断开时,或者当T(4100)不能执行对D(1000)的更新时,仅可以通过可达性证实处理来发现通过主机到达T(4100)的可达性。此外,当预先知道T(4100)处的服务、但不能正确地访问该服务时,就不能推断出这是由缓冲引起的,也不能确定T(4100)是否从网络断开连接,因为,例如甚至在T(4100)正确地连接到D(1000)时,才能正确地执行对D(1000)的更新,因而不存在缓冲问题,在程序提供服务中可能会出现故障。从网络管理的角度看,我们需要确定T(4100)是否存在接口故障,诸如线路断开连接这样的网络故障(基本故障),或者服务故障(应用级故障)。当对网络故障进行查找时,习惯上从底层开始,利用主机尝试与T(4100)进行通信,并且使用该结果来确定T(4100)实际上是否是正确的T(4100)。(更多的细节参见稍后的设计原理。这里我们仅要证实源站是否可以到达T(4100)的接口)。
在S206使用先前同意的方法,从S-1(2000)到T(4100)的IP地址执行通信,该T(4100)的IP地址根据地址验证(S202和S204)的结果来获得。(该通信称为“标记”)
S208确定是否存在来自S206的答复。(该答复称为“将要进行的答复”,而执行该答复称为“确认”)。如果存在,则将该答复传递到S210;如果不存在该答复,则处理进行到S216,显示已忽略了T(4100)。
S210从S206接收答复,并且执行字符串处理以获取具有已删除的不必要字符串的字符串。
S212比较在S208提取的字符串和应当从T(4100)进行的答复,以响应通过使用先前同意的在S-1(2000)中存储的方法进行的通信。
T(4100)将要进行的答复与S-1(2000)将要接收的答复相同。
当所提取的字符串与将要进行响应的答复相匹配时,确定T(4100)具有正确的可达性。
当它们不匹配时,独立于缓冲TTL的问题来确定:要么T(4100)没有连接到因特网,要么出于相同的原因而没有对中心侧DNS服务器进行更新。
显示该比较结果。在S212的确定显示了要么T(4100)操作正确且具有正确的可达性(S214),要么T(4100)处于故障状态中(S216)。对这种比较的响应应当基于在负责T(4100)的人和证实可达性的人之间的合同(contract),所以这里仅显示结果而已。当正确地操作T(4100)且可达性正确时(S214),可以执行诸如业务量监控这样的正常监控,随后,利用可变IP地址对通常不能进行监控的主机进行处理。一般来说,在S214情形中,最好写一个表明T(4100)处于正常的登录状态的消息。当S216(T(4100))不正常时,执行诸如发布告警这样的通知处理。对于S216来说,当S执行图23所示处理时的定时与通过T(4100)对D(1000)进行更新的定时重叠时,可能在反映D(1000)的更新中存在延迟。基于此,应当在短的时间间隔之后再次执行该处理,如果仍然检测到故障,则要么发布告警,要么作出有关告警发布给何人的判定。
确认的本质
接下来将说明“可达性证实”。例如,在T(4100)处浏览公开网页的人可以容易地识别该网页属于Mr.A还是Mr.B。如果在T(4100)处浏览A的网页时,显示在T′(4200)处的B的网页,则可达性不正确。(如果出现超时错误,则情况相同)。如果在访问A的网页时显示A的网页,则另一个终端具有正确的可达性。一个人可以立刻作出判断,但正如前面所述,计算机不能。可达性证实能够使机器(=通信节点)作出这种识别。
可达性证实的结果表示为正确或错误。当结果正确时,主机具有正确的可达性。该主机也可以表示为正确的主机。当结果错误时,该主机不具有正确的可达性。
这里,假定为T(4100)分配了一个永久分配的IP地址。
1.如上所述,人可以在视觉上识别主机。
如果人不能识别主机,则他/她通过检测来识别主机,一般来说如下所述:
2. Nslookup和ping也可以识别主机。
3.主机本身给出其标识。然而,“主机本身给出其标识”意味着主机通过通信服务程序(下文中称为“daemon”)来标识其本身。通常,其它的通信终端在听到标识答复之后不会采取具体的动作。例如,这里具体的动作是指:确定是允许还是拒绝连接。
4.如果提供一种计数(account),则还可以使用密码验证。转向T(4100)是拨号主机这种情况,这是本发明的前提。
上述第l项在这儿不考虑,因为可达性证实的目的在于使机器能够进行所述识别。
利用第2项所述的Nslookup和ping,不知道其它的通信终端是否真的正确。
第4项是服务器计数的问题。本发明没有假定在其它通信终端(或主机)存在计数。所以,这里不讨论假定提供计数的验证。
就第3项而言进行讨论。
Daemon是用于打开通信端口的一段驻留的处理程序,等待主机连接,并且将程序和版本名提供给主机。
因此可以使用第3项。
当T(4100)具有永久分配的IP地址时,自然地在通信开始时执行daemon。(然而,通常不去确定是否使用给定的信息来执行通信)。
Daemon给出所述信息以响应接入到主机名;这种简单的装置给出了有关主机自身的识别信息。
这并不包括在验证概念中。
此外,当简单地给出其标识后,就可以证实可达性。
换句话说,可达性证实意味着:
问询主机“你是谁?”作为标记。
“我是某某”作为答复来回答。
因此,确认的本质是起到载波的作用,该载波给出了有关其自身的、自然应当给出的标识信息,而标记是规定了如何询问T(4100)来给出其标识的一种协议。
接下来,我们将解释不太熟悉的新的网络特性,直到动态DNS或静态标识符与动态分配的网络地址之间的关联性变得公知为止。
在静态标识符和动态分配的网络地址的关联中的单向性
通常,在D(1000)仅可以使用前向名字解析。
当使用反向名字解析时,应当动态更新的主机名并不会返回到IP地址,所以,什么是返回(what Is returned)?
通常返回通过网络操作员设置的主机名,该网络操作员对包括分配给IP地址的相关地址块(包括CIDR块)的网络进行操作。这种解释不易于理解。典型的例子是因特网服务提供商(ISP)的主机名;ISP是P(4000)的一种形式。
下面给出一个例子。
前向名字解析:host.customer.co.jp→192.168.0.99
反向名字解析:192.168.0.99→ppp000099.otemachi.provider.com
前向名字解析:ppp000099.otemachi.provider.com→192.168.0.99
正如所能看到的,host.customer.co.jp被隔离。即当ppp000099.otemachi.provider.com是错误标识的主机时,ppp000099.otemachi.provi der.com  不知道主机名“host.customer.co.jp”。
host.customer.co.jp是T(4100)对D(1000)执行更新的主机名,而192.168.0.99是同时分配给T(4100)的IP地址,而ppp000099.otemachi.provider.com是通过为所述IP地址执行反向名字解析获得的主机名;由ISP给出主机名。
下面将描述这种现象的原因。
host.customer.co.jp的非隔离违反了DNS授权的先决条件,即不允许对由其它人(其它组织)(RFC2050、2317、3152)管理的网络进行反向名字解析设置。例如,当由不同的组织来管理D(1000)所属的网络和P(4000)所属的网络时,D(1000)不能为P(4000)设置反向名字解析。然而,host.customer.co.jp由T(4100)的主人进行广泛地广播,以接受来自S-2(5300)的访问。
即,对于反向名字解析来说,可能不知道主机“host.customer.co.jp”,尽管在执行前向名字解析时,所使用的关键字已是众所周知。
当T′(4200)接收一个标记时,该T′(4200)不可能知道主机名已由源站表示为目的地,这是由于网络特性的原因,即通过将静态标识符与动态分配的网络地址彼此相关联来获得主机可达性。
假冒(impersonation)
然而,在某些情况下假冒并不适用。例如,当目的地端口为HTTP时,自然地主机名没有被包括在会话建立中,但目的地主机名(希望看到Web冲浪)可以包括在随后的GET状态中。在这样一种情况下,当执行一段程序时,可以假冒将要进行的答复以及对执行该程序的确认,该程序用于提取包括在GET状态中的主机名,而后实际上将其返回到可能错误标识的主机中。这是一种消极破译。
假冒的影响范围
然而,这是不现实的,因为当进行假冒尝试时,这种假冒必须等待访问错误标识的主机T′(4200),而且即使这种假冒成功了,当分配给T(4100)的IP地址改变时,这种假冒可能不再更随这种变化。因此,仅对于分配给T(4100)的IP地址不发生变化的期间来说,建立这种假冒。
因此,存在很小的影响,除非对D(1000)的更新处理被接管。(即使可以进行假冒,也不会持续很长时间)。也就是说,仅当更新处理被接管时,可以完全地进行假冒而不会引起错误标识。然而,这种情况不再是假冒,而确认与在更新时所用的关键字不相关。因此,必须保护对D(1000)的更新处理。
在下列情形中进行假冒:
首先,必须存在错误标识;除非主机T′(4200)是错误标识的主机,否则不能进行假冒。
一旦接收到一个标记,执行假冒的错误标识的主机T′(4200)就通过返回确认来执行给出T的标识的“应当进行答复”。
现在,与利用(4100)相同,通过P(4200)为T′(4200)分配一个IP地址。此外,与利用(4100)相同,可以改变T′(4200)的IP地址。基于此,我们可以看到下面的情形:
与利用(4100)相同,T′(4200)属于P(4000)的地址范围。换句话说,可以通过P(4000)的IP地址范围来预先限定可能出现错误标识的范围。然而,通过网络状态来确定这种限制,而并不是人为地进行限定。
与利用(4100)相同,T′(4200)不能继续使用由P(4000暂时分配给其的IP地址。因此,即使T′(4200)成功地进行了假冒,也不可能长时间保持假冒。
在下面情形中建立假冒:
主要是,当T(4100)进入排除了缓冲问题的故障状态时,假冒仅是可能的。此外,在下列周期期间建立假冒:
T′(4200)的IP地址不发生变化期间;
在T(4100)返回到正常状态直到再次执行更新期间;
根据上述情况,假冒是可能的,但其影响范围假定是可容许的。
然而,诸如“你是谁”这样的标记被推荐,该标记简单地提示其它通信终端进行答复;诸如“你是某某”这样的标记不被推荐,因为这会带来便于假冒的情形。将所述“某某”假定为一个具体名字等。
独立可达性证实的效果
在可达性证实和更新接管之间进行比较。根据上述比较,我们可以看到可达性证实不需要被保护。
可达性证实和更新是没有直接关系的独立的处理过程。此外,可达性证实与计数关键字不同。
这是独立可达性证实的效果。
(理论)
1.通信模型
特性列表
首先,下面示出了在本发明中具有具体含义的值。
A:动态分配网络地址(=网络地址)
由网络使用的值;用于控制到终端的实际可达性且由P临时分配的地址。
B:静态标识符
由人使用的值;以及用于定位目的地终端的标识符。
接下来示出了功能。
D:映射通知***
当源站试图开始通信时,通过将目的地终端的静态标识符和动态分配的网络地址相关联,该***提供到目的地终端和到源站的可达性。
通知一对A和B,代表T。
T:目的地终端
在该模型中的目的地终端
为D设置相关联的一对A和B
不必是计算机;仅需要是通信节点
S:源站终端
用于证实到T的可达性的正确性的终端,T是目的地
为T验证可达性的正确性
不必是计算机;仅需要是通信节点
P:用于将A(临时地址)分配给T的功能
通常,P是一个网络或者具体的服务器
从电话公司的角度考虑,网络本身包括T。
(例如,在电话公司,DCE被看作是时钟发送侧;DTE是时钟接收侧。即从网络本身接收时钟。因此,例如在提供因特网服务的ISP处,假定通过ISP的网络来分配IP地址,而不是通过网络接入服务器(例如,利文斯敦[赞比亚西南部城市]的Portmaster和AscendMAX)或者RADIUS服务器)。
从LAN的观点考虑,假定通过DHCP服务器来分配IP地址。
由A和B组成的一对表示为“AB对”。
AB对的实象(real image)
在T处,B是使T本身公开的一个标识符。A是暂时由P分配给T的地址。单独使用B,网络可理解(wise)的可达性就不会从S(即从T的观点看是第三方)获得。单独使用A,可以获得网络可理解的可达性,但是由于A是T从P借用并临时使用(除了T之外的终端也使用)的地址,所以第三方不能将T和A相关联。然而,B是用来表明T的信息,同时,A是分配给T的地址。根据这种情况,T被假定为具有所述A和B实体对(下文中称为“实象”)。
AB对的映射图像
利用与A和B相关联的T来通知D(映射通知***),存储该事实,并且将其通知给S(第三方)。更具体地,当D询问有关A或B时,D答复未被询问的A或B。根据另一种观点,当A和B是一个输入时,还将D当作输出剩余的所述对其中之一的***。独特的是,由于T不能发起一个通知,所以D代表T。因此,AB对的映射图像在D处被通知。
顺便提及,当获得了不正确的可达性时,据说通常T是错误的而D是正确的。然而,这是不正确的,因为S不能到的T,除非在D处映射的AB对反映了实际情况。该实际情况意味着在T处的AB对的实象;所述AB对中的各个元素不可以单独地描述为正确或错误。S不能到达T,除非在其实体中的AB对正确地反映了实际情况。
换句话说,当S不能正确到达T时,就不能认为具有AB对实象的T是正确的,也不能认为宣布被映射的AB对图像的D是错误的;相反的情况也是不可能的。最重要的是,AB对的实象和映射图像彼此匹配,这意味着由D存储的有关T的信息的映射图像,以及由B(通过T来保持)和A(在P给T的那一点上可访问的条件)组成的信息的实象相互匹配。
下文中,术语“实象”和“映射图像”假定在术语“AB对的”之后。
现在参考图22。
步骤(1)到(5)是处理过程。
在步骤(1),从T到D来映射AB对。
在步骤(2)和(3),检测在D和S之间的AB对。
在步骤(4)和(5),检测在T和S之间的AB对。
下文中,数字(1)到(5)涉及图22。
必须强调的是,除非在D处的AB对的映射图像和在T处的AB对的实象匹配,否则第三方S不能到达T。
这种现象会出现,因为尽管AB对的实象在T处毋庸置疑,但是从T或D来看,第三方S并不能首先直接参考T,所以S在D处参考AB对的映射图像,以获取到T的可达性。
换句话说,T仅将实象映射到D,而从来不会由第三方S参考,因为从S看来,T是目的地,所以为了发现T,S首先参考D,而当S不能发现T时,就不能参考T。
在S发现了T之后,从S访问T是可能的。
因此,要按照下述方法来验证S(源站)如何正确地到达T(目的地):
当在(2)和(3)处检测的D和S(AB对实体的映射图像)之间的AB对、以及在(4)和(5)处检测的T和S(AB对实体的实象)之间的AB对相互匹配时,从源站S到目的地T的可达性是正确的。
2.顺序(sequence)
那么,我们如何来确定AB对的实象和映射图像是否匹配呢?
这需要根据顺序来讨论。
使用根据图22的顺序来解释A和B值之间的关系。
(1)T在D处创建AB对的映射图像。
(2)S使用B对D执行查询。
(3)D将A返回到S,以响应所述查询。
(4)S使用在(3)中获得的A来执行对T(或者被认为是T的目的地)的查询。
(5)T将B返回到S以响应该查询。如果认为是T的目的地实际上不是T,则该目的地返回一个未知响应。当T不返回响应时,假定返回了“没有响应”的响应。“没有响应”被包括在未知的响应中。换句话说,这是以零值存在的概念为基础的。下文中,基于这样一种概念来描述这个规范。
对顺序中的各个步骤进行说明
(1)是一个处理过程,其中T将AB对的实象映射到D。结果,在D处创建AB对的映射图像。通常,这会询问T和D之间的验证,以便第三方不能够将错误的AB对映射到合适的T。
AB对的该实象不仅可以由T来映射,而且还可以通过一个诸如集成有T的装置(在实施例8中将详细描述)来映射。执行映射的主体还可以是P(诸如DHCP服务器、ISP、操作员的ENUM)。
(2)和(3)被认为是一组程序。该处理过程相当于所谓的名字查询。
在(2)处,S对D执行有关静态标识符B、熟知的关键字的名字查询,利用该***的优点,从而当D输入A或者B时,输出所述AB对的剩余部分。
在(3)处,为了响应(2),D返回A(动态分配的网络地址),AB对实象的另一半在(1)处创建。
上述(1)到(3)的操作使用了现有技术。(2)和(3)中的操作被认为是应当使用的自然现象(natural phenomena)(外部物体)的集合。
在(4)处,S使用A(在(3)处获得的)来提示T进行答复,所述A应当具有到达作为目的地的T的可达性。A临时在(3)和(4)中使用,因此需要进行分配。换句话说,S不需要存储A。(然而,正如稍后将要讨论的,有时候对于S来说存储A是最好的)。
在(5)处,T将B返回到S,即AB对的另一半。当返回B(即S从T接收的答复)时,源站正确地到达T,因为在(2)处、在第一次查询中使用的B以及从(5)返回的B是相同的。这种情况显著地区别于当T返回一个未知答复以响应(4)处的请求时的情况(作为响应而返回某种答复)。
然后,S可以知道在(2)和(3)处的AB对的映射图像,以及在(4)和(5)处的AB对的实象。
在该顺序完成之后,S比较在(2)和(3)处的AB对的映射图像和在(4)和(5)处的AB对的实象,以看它们是否匹配。
下面将解释定时。
在(1)处,用于从实象中创建映射图像的是与S无关的一种操作,因此S不可能知道操作定时。
在(2)和(3)处,获取AB对的映射图像的处理是S的责任,因此S可以在任何定时处执行该处理。
类似地,在(4)和(5)处,同样可以在任何定时处执行有关AB对实体的查询。可以在S所需的定时处或者基于S的内部定时器来执行该处理。此外,在(4)和(5)处的操作不是必须在(2)和(3)之后就立即执行。
例如,在可达性被证实之后的可达性证实处(第二或者随后),存储T(4100)的地址,即在(4)执行的标记的目的地;通常可以忽略步骤(2)和(3),但是在S变得不能到达T之后(在可达性正确性不再证实之后),重新执行步骤(2)和(3)。
(2)和(3)以及(4)和(5)之间的关系分别是请求和答复其中之一。
(5)是一种操作,同时是B的载波;载波和B之间的关系类似于桶和其所包含的水的关系。
3.扩展
可以将理论扩展到两个映射图像的比较。
然而,应当注意,根据主要的—次要的或者主—副模型,如果D已经变得冗余,则只对冗余组中的两个映射图像进行比较判断是不够的。在这种情况下,仅有(2)和(3)被尝试两次,且对它们的结果进行比较;通常这不是一种比较。
因此,通常来说,当两个映射图像分别由T单独地映射到不相同的映射通知***时,这两个映射图像的比较是有效的。换句话说,必须得存在两个或多个与D等价的不同的非冗余映射通知***。然而,不应当存在太多的满足这种条件的T,所以也可以使用其它的方法。
在这种方法中,S也试图在(4)和(5)处与T进行通信,但T返回除了B之外的答复作为一个响应。
在这种方法中,在(5)处,T可以作为一个响应返回存储在S中的字符串(与T相关联)来代替B。因此,在(5)处,T可以使用作为响应的各个字符串,只要S知道它们与T相关联即可。
同样,基于T和S之间协商一致的某种规则来转换各个字符串的情形也应当得到允许。换句话说,可替换的字符串和被转换的字符串二者都可以被用作B的代替物。
各个字符串和B本身之间的关系是很微妙的(delicate)。每个字符串都是B的一个扩展,意思是其源于B。另一方面,在B简单地被视为字符串时,各个字符串自然地包括B。
因此,很难定义哪一个(B或者是各个字符串)是最一般的概念。在该说明书中,各个字符串假定是B的替代物。在这种情况下,有条件地来建立各个字符串;即S知道各个字符串与T相关联的条件必须得到满足。然而,下文中忽略了这种状态。
对T在(5)处作为响应返回给S的字符串的内容进行概括,当该响应是B本身时,S仅需要知道目的地T的静态标识B。当该响应是各个字符串时,D需要知道静态标识符如何表示T,并且还需要知道与T相关联的字符串或者转换规则。
在接下来的描述中,当简单地使用符号B时,假定包括B的替代物;“B本身”和“B的替代物”仅在区分B本身和B的替代物之间的重要性时才明确提到。同样,除非对区分B的可置换替代物和B的转换替代物存在某种特定的需要,否则仅简单地使用术语“B的替代物”和“各个字符串”。
在(2)处,当S使用B执行查询,而后B本身作为响应在(5)处被返回时,可以将这种情形表示为“鹦鹉学舌般的关系”。在这种情况下,返回的响应是B本身,而不是B的替代物。
到此为止,我们已经描述了用于实现本发明的通信模型。
下面将描述用于实际控制特定功能的具体设备。可能存在取决于网络状态和位置关系的多种设备。这些用于控制特定功能的具体设备可以被替换,用于形成特定的集合。
D映射通知***
D通常用来配置冗余的服务器组,因此在这个组中存在替代关系。典型地,D通知在动态DNS、ENUM DNS和专利文献1和2中公开的B和A的映射。
T:目的地端
当T位于LAN内并且经由网络、而后经由公共存储和转发网络与D和S进行通信时,从P看来,在集成有边缘节点的设备间存在一种替代关系。在实施例8中详细地说明了在这种情况下共享的实际规则。
S:源端
S-2和S-1存在。(主要地,S可以是S-1或S-2。S-1和S-2在其执行客户—服务器类型操作时必须要进行清楚地区分。执行客户—服务器类型操作的S-2可以不具有可达性证实功能。)
在实现本发明的过程中,当采用客户—服务器模型时,S-2执行对S-1的查询,而S-1代表S-2证实到目的地的可达性;S-1是源端。
根据一种例外情况,S可以与D集成。
P:用于将A(临时地址)分配到T的实体(组织)
当LAN上的T和P是DHCP服务器时,通常,该DHCP服务器分配A。然而,这假定了D和S还可以到达相同的LAN或者经由内部LAN连接。当公共网络转变为与D或S进行通信时,诸如ISP这样的网络应当是P。换句话说,P不会将临时地址A分配给T;P简单地将A分配给边缘节点。正如较早前所解释的,在T是一个参考节点的情况下,该参考节点与作为网关的边缘节点相结合。在实施例8中将对其进行详细地描述。
应当根据网络配置(网络如何连接)和这些设备的位置关系,从多个替代物中选择特定的P和T。
下面给出了具体的操作:
(1)该处理过程将AB对从T映射到S。该处理过程是现有技术;而且在DNS中,这相当于“更新”。
(2)在DNS的实例中,该处理过程是“名字查询”。对于术语的一致性来说,术语“名字查询”还用于除了DNS之外的D。
(3)在DNS实例中,该处理过程是“名字查询”。与上述(2)相同,术语“名字查询”还用于除了DNS之外的D。由于(2)和
(3)是一个集合(set),所以假定对一半的表示意味着另一半的存在。
(4)通常,不存在可达性证实过程;诸如Web访问这种普通的通信就相当于该过程。该过程称为“标记”。还可以称之为“使用预先达成一致的方法进行的通信”。
(5)该处理过程是对标记的一种响应,因此称之为“确认”。
可以通过使用上述顺序((2)到(5))来获得AB对的实象和映射图像。通过比较AB对的实象和映射图像来证实可达性,因此所获得的证实称为可达性证实。
在(4)和(5)处,甚至在字符串被取代或转变时,也可以进行所述比较。因此,可用于应当进行响应的字符串是各个字符串。
正如较早前所解释的,按照常规方式来执行处理过程(1)到(3)。
当(4)是一般的访问时,T返回一个适合于其接入方法的响应。
然而,因此,在(5)处,T从来不会返回B或返回在T和S之间达成一致的各个字符串。因此,在(5)处,不能使用所述理论,除非现有的机制被转变,或者执行用于返回确认的新的机制。
执行处理(5)的主机
下面将解释执行处理(5)的主机如何工作。这里,假定主机返回B本身作为应当进行的响应。
1.在标准状态中,T(4100)不会给出其标识或者作为其标识的相关名字。给出作为其标识的相关名字意味着:例如PC会将给定的一个合适的名字提前返回,作为其标识。(合适的名字并不意味着包括域名的主机名,该域名由T(4100)对D(1000)进行动态地更新;不能设置这样一种主机名,除非它被故意设置)。
2.然后,不能将该名字用作应当进行的一个响应,这意味着该名字不合适。
3.因此,T(4100)必须返回一个用作应当进行的响应的名字。用作应当进行的响应的名字意思是指在D(1000)处动态更新的主机名。根据上述1,这意味着一种清楚的设置发生了变化。这是因为S-1(2000)通过参考D(1000)来获取T(4100)的IP地址,该D(1000)用来管理T(4100)的域,同时,S-1(2000)请求T(4100)返回主机名,按照目前的情况,上述主机名是指在名字查询中使用的关键字。
4.上述设置是一个具体的设置;通常,不会如上第3项所述对T(4100)进行设置。
执行这样一种设置需要建立在本发明中执行的标记和确认操作。
相同的理论还可以应用于一种情况,即将要进行的答复是B的替代物。
下面对上述解释进行概括。
通过比较AB对的实象和映射图像来建立可达性证实。因此,必须获得涉及AB对的实象和映射图像的4个元素(值)。在这些值当中,通过常规方法仅可以获得用于实象的值B。因此,我们提出了称为“确认”的一种载波。很明显该载波是一种信号,而且意指一种携带信息的实体。
“将要进行的答复”是通过“确认”携带的信息。所述B本身和所述B的替代物是一种信息类型。类似地,“确认”是桶,而“将要进行的答复”是桶中的水。“应当进行的答复”是与在S中存储的“将要进行的答复”相关联的信息。T一旦接收到由(5)中的“确认”携带的“将要进行的答复”,S就比较在S内存储的“应当进行的答复”的响应,以确定是否匹配。当它们匹配时,可达性正确;当它们不匹配时,可达性错误。
标题为“执行处理(5)的主机”部分适合于解释。在实施例1到7中描述的通信方法是现有技术。然而,通过使用不同于常规方法的通信方法,可以创建称为可达性证实的一个新值。通信方法仅仅意味着使用哪一个通信端口。因此,不考虑使用新的端口还是使用旧的端口合适,它们都必须在通信端口的范围之内。通常,最好使用新的端口,然而这就要求通过按照本发明的不同过程来建立的标准。适用的原因很简单;我们想要独立于通信端口来弄清楚用于实现本发明的能力。
为主机名给出的标识通常存储在T(4100)的存储设备中。为了响应来自S的通信请求(=标记),T返回一个响应(=确认);同时,读取包括在响应中的主机名,然后将其返回。该响应的内容称为“将要进行的答复”。
因此,必须明确地设置T(4100),以便将要更新的主机名(作为其标识)返回给D(1000)。
然而,被置换或变换的B被当作B本身。这在下面“将要进行的答复类型”部分中进行解释。
将要进行的答复类型
由确认携带的可以用作答复(将要由T进行的)的字符串作为代表。DNS用作一个例子。
1.主机名
在B本身的情形下,主机名假定为FQDN。
目的地的主机名最好是答复的主机名。但是,当唯一被返回的主机名相当稀罕时,实际上要返回一个相当长的答复。
因此,将要进行的答复必须从返回的长的答复中提取。
换句话说,这是标记—确认的一个典型实例。当所述条件满足时(即,当T(4100)被明确地设置为返回其主机名(作为其标识)时,该主机名由T(4100)用作将要进行的答复),事实上简单地返回主机名,所以可以在S-1(2000)处忽略应当进行的答复的设置。在实施例1中解释了这种算法,而且在实施例1和表02中解释了该设置。
换句话说,在(2)处,S对D(1000)执行的查询内容为B;以及在(3)和(4)之后的(5)处,将要进行答复的内容还是B。在S处,B不需要存储两次。在目的地和将要进行的答复相同时(即答复是B本身),可以忽略该答复。
可以进行多次将要进行的答复。
顺便提及,当映射通知***不是DNS时,可以将主机名认为是取代FQDN的静态标识符本身。例如,在专利文献2中,FQDN可以由维护名(handle name)来取代。
2. URI方案(=uri_scheme)
在协议名被包括在所述答复中的概念中,由于存在多种情形,所以包括主机名的答复很长。
当在单主机上提供不同的服务时,甚至当这些等待服务中的每一个与多个主机名中的每一个相关联时,协议名的包括能够单独地对各个主机名和服务对(pair)执行可达性证实。换句话说,这是使用别名主机名(在不同阈中包括一个)在单主机上提供服务的一种情形。
提供唯一性。
可以在S-1(2000)处忽略将要进行的答复的设置,这取决于一种条件,即例如当在单主机(该单主机被称为用户01.customer.co.jp)上提供下面的服务时,可以对这些服务中的每一个都执行可达性证实。
Http:∥wwwhost01.customer.co.jp
Tel:81-3-1234-5678
Enum:8.7.6.5.4.3.2.1.8.e164.arpa等
可以毫不含糊地参考URI(统一资源标识符,RFC2396)的特性性能和能力。这里,URL假定是URI的一种具体形式;以及URI假定包括URL(RFC1738)。在本发明中,URI包括主机名,所以将URI训练为主机名的一个扩展。
在这种情况下,在T(4100)处待用的可达性证实端口也可以是一个熟知的端口,但可达性专用端口(不是用于业务的端口)也可以单独地作为非公知端口来提供。
将由ITU-T建议E.164定义的国际公共电信号码(下文中称为“电话号码”)转换为称为逆序电话号码的主机名(FQDN),即E164.arpa,其用于将到动态DNS(RFC3263)的输入变为与现有电话网络相连接。这通常称为ENUM。在这种情况下,发送方为接收方在转换字符串时指定的电话号码(RFC2916)还可以用作将要进行的一个答复。这是一种理想的情形,类似于当在鹦鹉学舌般(parrot-fashion)的关系(在查询中使用的B和作为答复返回的B相同)中的“目的地的主机是被答复的主机名”(上述第1项中的)被建立时,可以执行可达性证实。(所述已转换电话号码主机名的电话号码通常包括在上述第1项所述的主机名中)。当然,在所述转换的中间过程中获得的URI还可以被用作将要进行的一个答复。
电话号码显然是一个静态标识符。在ENUM中的逆序电话号码E164.arpa是一个主机名,同时本身也是一个电话号码。(其本身也是一个电话号码,因为其简单地被映射到DNS上,所以相当于一个电话号码,尽管某些人不同意这一观点;这只是一种符号差异。)当该逆序电话号码本身是一个电话号码时,其应当作为将要进行的答复的一种类型被包括在主机名当中而不是URI当中。
换句话说,作为名字查询结果而获得的最终字符串(将名字查询转发到T(4100)→作为另一个发送标记的通信终端的IP地址,作为标记的查询→作为将要进行答复的字符串)与T(4100)相关联;当然,可以在T(4100)仅返回有关其自身的标识信息(作为将要进行的一个答复)时,执行可达性证实。
顺便提及,当使用URI形式时,不仅可以标识T(4100),而且还可以标识T(4100)的用户(人)。为了对它们进行标识,只需要在实施例1中公开的算法中,将字符处理部构建为具有多级(本领域的普通技术人员很容易想到)。
即,额外的信息可以包括在将要进行的一个答复中。
同样,因为允许进行多种答复,所以对于多种服务或多个别名中的每一个来说,单T(4100)就可以执行可达性证实。
对于URI方案来说,字符串位于B本身和B的替代物之间的边界上。当B本身被包括在URI方案中时,从所返回的长的答复中提取将要由T(4100)进行的答复,正如较早前在第1项(主机名)中所描述的,因此可以将字符串当作B本身,与利用第1项相同。
然而,当B本身并未包括在URI方案中,或者当代替B本身的整个URI取得一致时,应当将该字符串看作是B的替代物。
3.当没有包括在答复中的主机名时
字符串是B的替代物。
就假定主机名是FQDN而进行的解释。
然而,存在一种实施方案,即当根据将要进行的答复不能定位T(4100)时,返回主机名而不是FQDN。
下面的3种模型是可能的:
a.当仅包括域名、而不包括有限定义的域名时
这种情况是一种特例。当用户排他地使用域名时,可以将主机名看作是FQDN。当用户并非排他地使用域名时,不提供识别力(自识别信息不充分)。
b.当仅包括有限定义的主机名、而不包括子域名和域名时(无限定的单个标签)
c.当包括主机名和子域名、而不包括域名时(无限定的多个标签)
与名字搜索不同,为了证实T(4100)的可达性,S-1(2000)从来不添加后缀。当主机名是USER01或HOST01时,也不提供针对人的识别力。很明显,不提供唯一性。然而,这是完全正确的。
不具有唯一性只是意味着不能按照通过S-1(2000)接收的、将要由T(4100)进行的答复来进行定位。
在S-1(2000)中登记的字符串(其既不是主机名也不是URI方案)也是B的替代物。该字符串可以是X509证书(certificate)或者仅是T(4100)的公共密钥,而不必是主机名。换句话说,T(4100)没有必要返回其主机名;仅需要返回有关其自身的作为其标识的识别信息。更具体地,识别信息仅需要T和S同意即可。这里,T和S之间的协议包括有关字符串的协议,该字符串是由T(4100)确定的并且公开地进行发布。因此,与FQDN或URI不同,该字符串不必是全球唯一的。
此外,S-1(2000)自然地知道有关T(4100)的识别信息,并且通过比较在S-1(2000)中预先存储的T(4100)的识别信息(=应当进行的答复)、与被传递到T(4100)的来自设备(另一个通信终端)的答复(将要进行的答复)来证实可达性。
上面的解释说明了主机名未被包括在该答复中,以及字符串取代B本身这两种情况。在可替换的情况中,在T和S之间都承认可替换的字符串,因此这种替换情况是静态的。在可变换的情况中,变换规则得到同意,所以该变换仅是动态变换。
因此,确认是一个信号,该信号让S证实到T(4100)的可达性。
将要进行的答复的特性
正如在假冒部分中所解释的,将要进行的答复不是关键字。即,将要进行的答复并不是一个危险分子(security risk),所以没有必要保密。
常规的单独识别没有用于标识T(4100)。可达性是通过比较从网络特性中获取的值和所存储的信息来确定的。
另外,S不是一个特定的单通信节点。正如从将S当作S-2(5300)的描述中所看到的,假定S包括一般的用户(未指明的多数)。在这种情况下,将要进行的答复不可能是保密的;这并不意味着该答复不需要进行保密。为了使用B的替代物,不仅标识了T(4100)的静态标识符、而且可置换的字符串和变换规则都必须得预先通知给S。这似乎不太现实,但这种情况不是必要的。例如,通常通知URL和邮件地址来代替域名。考虑与该实施例相同的一种情况,并没有增加T(4100)侧和S侧的负担。
但是,存在一种不同的情况。例如,当仅将B的替代物通知给特定的S-1(2000),并且将这种替换用作将要进行的一种答复时,这种替换几乎是保密的。然而,虽然如此,也应该利用关键字干扰这种替换。这种替换仅仅意味着可以灵活地实现本发明。
根据上面的描述,如果T(4100)仅返回一个字符串,则进行可达性证实是可能的,该字符串包括在S-1(2000)中存储的所期望的答复。
顺便提及,按照如下从解析器角度的考虑来定义DNS。
(常规情形)
响应来自解析器的查询,该解析器即是将静态标识符转变为动态IP地址而后将其输出的***。
(新近情形)
响应来自解析器的查询,该解析器即是将静态标识符(主机名、电话号码)转变为动态标识符(URI),即变换为静态或动态IP地址而后使用多级递归查询(中间处理过程)将其输出的***。
新近的DNS包括传统的DNS。
如上所述,DNS的位置可以变化。
下面将描述DNS变换标识符的处理过程。
别名=(=CNAME)→主机名→IP地址
电话号码→主机名→URI→IP地址
将要进行的答复既可以是首先输入到DNS的静态标识符(不包括IP地址),也可以是能够在中间标识符变换处理中、在DNS(参见上面的描述)获取的一个标识符(不包括IP地址)。
以别名开始的变换处理可以具有特定的含义。
首先,在另一个DNS上的主机通常已使用别名进行了参考。换句话说,在ENUM出现之前使用递归。
其次,动态地更新指向另一个DNS的T(4100)。当简单地将这种动态更新认为是一种操作时,忽略字符串的转变,据说这种动态更新可能与ENUM的操作相同。
当在这里假定可以返回多项确认时,在相同的搜索过程中,不仅可以针对端到端,而且还可以对于中间过程中的主机(在这种情况下是DNS)进行可达性证实。在S处,将要进行的目标答复仅需要从将要返回的多个答复中进行提取。
在这种情况下,两种方法都有效:一种是使用单个确认来返回多个将要进行的答复,另一种是返回多个确认,其中的每一个确认仅携带一个将要进行的答复。
返回多个确认具有两个优点:
可以在单个T(4100)处进行多种标识。
当在名字转换处理过程的中间处理中的节点返回多个确认时,可能增加跟踪能力。在这种情况下,T(4100)仅需要从由中间节点进行的答复中提取应当进行的表明了目标T(4100)的答复。因此,类似于跟踪路由,使得对中间节点进行可达性证实成为可能,假定在定位故障位置中具有很大的帮助。
设计原理
网络管理
下面解释网络管理的需求。首先解释术语。网络管理本身是普通管理的概念,包括所谓的配置管理和计数管理。其目标是网络。下面来解释管理和监控之间的关系。应当理解称为网络管理的多种类型包括称为主机和网络监控的具体技术。(例如对于单节点和整个网络二者可以测量业务量)。因为网络状态持续变化,所以监控状态以处理故障是第一步,而且监控的结果将成为对网络设计的反馈,或者变为表明未来网络扩展规划蓝图的材料。
然而,在本发明中,T(4100)是分配了动态IP地址的用户网络中的冗余节点,或者是与被参考的冗余节点相结合的一台主机;T(4100)非常小。但是,因为T(4100)提供了某种TCP/IP服务,所以由于线路断开连接或***故障的原因,可能不会通知没有服务的状态。如果出现某种故障,应当尝试通知或恢复。基于此,所以需要网络管理,甚至对于小型网络来说。网络管理还使得管理具有可变IP地址的主机成为可能,按照常规,不能够对可变IP地址进行管理。
Ping的含义
Ping命令执行ICMP协议的回声请求(echo request),并且通常用于证实可达性(主机有效或无效)。
Ping命令类似于鱼群探测器;如果返回一个响应,则可以知道存在鱼群(或主机)。
然而,当目的地主机(T(4100))具有一个可变IP地址时,Ping表明主机(其它通信终端)响应,甚至当答复是来自T′(4200)而不是T(4100)时。在这种情况下,据说主机可达性不可能被证实。
使用Ping不会知道其它通信终端是否是真实的通信终端。因此,本发明询问“你是谁”,而响应是“我是某某”。如果该答复与期望的名字相匹配,则T(4100)就知道是可达的。
以Ping的替代物来设计本发明,其可能不再用于具有可变IP地址的主机(不同于常规的主机)。换句话说,本发明的并不旨在100%地提供Ping的替换物。(实际上,许多Ping功能在本发明中没有实现)。因为不可能使用Ping进行验证,所以本发明仅用作Ping的替换物。
为了便于理解本发明,图39示出了作为Ping的替换物(S-2(5300)作为用于证实到T(4100)的可达性的手段而使用的本发明的图形)使用的本发明的图形。(在实际应用中会给出细节。)
这里,对T(4100)进行可达性证实的情形意思是:源站到达另一个通信终端,而后从该终端返回一个反映,这相当于可达性证实,即Ping的目的。
所以,就可达性证实来讲,本发明可以是Ping的替代物。不考虑包括在从Ping输出中的往返行程时间,但对往返行程时间进行额外计算以实现本发明,对本领域的普通技术人员来说是非常容易的。然而,应当注意当使用实际应用中示出的本发明时,诸如往返行程时间这样的冗余输出在以滤波器实现的过程中是不希望的。
当从其它通信终端返回Ping时,或者当其它通信终端在同一个以太网(并非经由网络云连接)上时,存在网络“云”的情形是透明的。同样,它们对于本发明来说也是透明的(这是指端到端通信)。
设计考虑
本发明的目的在于使用存储和转发网络的内在独立性。
本发明尽量变得简单和清楚。考虑简单性,本发明试图成为借助于人的(by people)自解释性(self-explanatory)结构。
同样,本发明的目的在于较高的适用性、有效性、灵活性和范围的独立性。
可操作性
人们对于丢弃现有技术具有很强的心理抵抗力。
不改变社会基础结构(social infrastructure)就不能实现的发明很少具有成功的机会。因此,不改变现有技术而是通过增加新的技术将本发明实现为提供便利性和可用性。
本发明具有广泛使用的很大的可能性,因为本发明可以基于小型网络使用,也可以独立于网络规模来实现,而且还可以借助于与现有技术的高度一致性且在不丢弃现有技术的情况下来实现。
应用范围
本发明可以在Ipv4和Ipv6网络中使用。
操作模型可以是对等的或者是客户—服务器类型的。本发明还可以应用于便携式和移动IP地址。
这里,IP地址的移动性意味着多种情形,例如,当连网的膝上型计算机关闭、移动(例如,在商务旅行中的宾馆)、然后再次接通电源时的情形。
IP地址的移动性是指一种情形,即随着通信的保持(在移动终端)而进行IP地址的切换。
IP地址的可移植性易于与IP地址的移动性(=IP移动性;RFC2002到RFC2006)相混淆。
然而,它们实际上是不同的。IP移动性是目的在于确保从对其本身进行呼叫的通信中接收一个答复的技术;假定被叫方(移动)终端对呼叫方终端的辨别不是主要的目的。
此外,移动IP的概念不同于静态和动态地址相关联的本发明中的概念。从这个意义上讲,“IP地址移动性”的表述不合适;本发明在不考虑地址移动性的情况下,验证一对静态标识符和动态分配的网络地址。
实施方式
本发明在应用层进行操作,并且独立于传输层。然而,所述应用层包括会话层、表示层,以及通过OSI(开放***互联;由ISO/ITU-T开发的标准)参考模型来定义应用层。正如我们所能看到的,根据连续的似UNIX标准(UNIX-like standard)来描述该规范。当根据其它的标准(诸如OSI)来描述该规范时,注意要清楚地写出其效果。同样,本发明并不限于在应用层上进行操作的所述状态。甚至日后当诸如ICMP(其中本发明在网络层上进行操作)这样的协议被提出时,所述建议应当在本发明的范围之内,从这个意义上讲,本发明的第一种实施方式是在应用层上进行操作。
具体实施方式
下面利用附图来解释本发明的实施方式。在各个附图中,相同功能的部件具有相同的标记。下面的实施例仅是举例,并不是限制。
在所有实施例中的描述使用S-1(2000),但这可以由S-2(5300)来取代。以动态DNS作为例子进行说明,但正如上面所解释的,专利文献1和专利文献2也是适用的。
实施例1到7举例说明了用于执行标记的通信种类。这种标记被表示为预先达成一致的通信方法。在这种情况下,通常,通信部应当与使用它们的协议相一致。在实施例1到7中,使用现有(熟知的)的端口作为通信端口进行说明。
在实施例1中,示出了假定的概念和算法。
在实施例1和2中,T(4100)是网络边界(=边缘节点)。典型地,T(4100)是终端本身。
在实施例3和4中,T(4100)是网络连接设备;典型地,T(4100)是NATBOX。
在实施例5和7中,不考虑是哪种类型的T(4100)设备。
在实施例8中,示出了网络的配置和位置。
在实施例9中,给出了实现本发明的诸如NATBOX这种设备的一个例子(这是一种新的实施方式)。
在实施例10中,给出了实现本发明的终端本身(典型地是移动终端)的一个例子。
实施例1
实施例1使用用于提前达成一致的通信方法的SNMP。
T(4100)是通过拨号直接连接的一台计算机。SNMP代理被实现,并且执行通常的设置。实施例1是在实施例8中详细描述的图37示出的连接配置1。
S-1(2000)通过定时器来运行一段监控程序。
在S-1(2000):
1.因特网使用多个UNIX(注册商标:下文中称为“UNIX”)服务器,所以我们假定本发明通常在UNIX上实现。
2.在UNIX上,提前引入了使用公知端口的主要的因特网服务,或者可以以较低的成本和劳动力将它们引入。
3.在UNIX上,作为OS部分从开始就提供字符串处理环境等。
因此,我们在UNIX(仅仅通过实现本发明就可以创建试验环境)上进行试验。
对于Windows家族中的OS来说,现有的DNS可以由ISC BIND(因特网标准DNS,自从ISC BIND在Berkeley UNIX中作为第一DNS实施方式被采用开始)来取代。或者,现有的DNS可以由ISC BIND的替代物来取代。所述替代物类似于包括在ISC BIND中的发现命令(dig command),其可以从外部非常接近地检查DNS服务器信息。对于SNMP管理器来说,可以使用微软的产品,或者还可以引入诸如Openview(注册商标;下文中称为“Openview”)这样的产品。字符串处理环境并没有完全包括在Windows OS中,所以最好可以单独地准备这种环境,或者在开发程序的过程中将其嵌入到程序中,以实现本发明。(然而,在这种情况下,程序接口容易出现故障,该程序接口使用包括在ISC BIND中的发现命令的输出;通过创建发现命令的替代物还可以节省劳动力)。
当T(4100)是PC时,实际上可以使用Windows OS,因为SNMP代理被包括在WindowsNT或Windows2000中。
因此,可以实现本发明而不考虑OS类型。
对于诸如SNMP这样的通信方法来说,等待端口号应当与由RFC1700ASSIGNE NUMBERS定义的公知端口相同,或者应当类似,除非还有其它的情况。RFC源于以“请求注解”公开的文件,用于同意(或改进)在ARPANET开发过程中的通信方法。目前起到为基于因特网或TCP/IP进行通信而设置的标准公约的作用。
SNMP(=简单网络管理协议)是一种并不简单的标准网络管理协议。在利用SNMP进行通信的过程中,社团名以及将要用于对T(4100)的可达性进行证实的目标ID与通信方法相一致;在T(4100)设置的目标ID值与应当进行的答复相一致。例如,PUBLIC、原始值被用于社团名,而表示主机名的sysName被用于目标ID。
当设置SNMP代理时,在大多数情况下,sysName并没有被明确地设置,而实际上是简单地引用***主机名。在标题为“执行处理(5)的主机”部分中描述的明确设置的变化、和在标题为“将要进行答复的类型”部分中给出的描述都适用。对于在T(4100)处设置的主机名来说,应当对在D(1000)处登记的全部合格的域名(由主机名、子域名和域名组成;下文中称为“FQDN”)进行设置。在很少的几个设备中,可能存在FQDN不被设置、或仅可以对未包括在域名中的主机名进行设置的情形。在这样一种情况下,当使用B本身作为将要进行的答复时,参见实施例2。在这种情况下,使用B的替代物作为将要进行的答复更加简单。
这里,由于可以将目标ID当作可变的已分配的答复内容(=标识符),所以建立下面的内容:
目标ID值(sysName)=FQDN=答复内容=T(4100)的主机名
表02示出了通信设置所需的项目,诸如在S-1(2000)处登记的T(4100)的名字以及将要返回的答复。
表02
        S-1(2000)或S-2(5300)   方向         T(4100)
  设置项目   表示T的静态标识符,目的地如何执行标记应当进行的答复B本身被置换的B被变换的B   (值)(目的地通信端口)(值)因为T被分配,所以不需要设置被置换的字符串变换规则 标记→←确认 如何接收标记将要进行的答复B本身被置换的B (接收通信端口)(值)B本身被置换的字符串
  被变换的B   变换规则
从表02中可以看到,所有的设置项对S和T都是通用的,除了在S处添加了表示T(4100)的静态标识符(目的地)之外。当将要由T(4100)进行答复是B本身时,该设置可以仅在S侧忽略。
在S处,通过接收确认来完成在通信模型中的顺序。在这之后,在S处,读取在S内部存储的应当进行的答复,以便与将要由T(4100)进行的由所述确认携带的答复进行比较。该比较结果的正确与否将会明确地区分源站对T(4100)具有正确可达性的情况、和源站对T(4100)具有错误可达性的情况。在接收答复时临时存储该答复的变量是必需的,但由于该变量在计算机工程学中是自解释性的,而且由于该变量本身在本发明中并不重要,所以将该变量表示为将要接收的一个答复。
在S-1(2000)处,当顺序文件进行记录时,可达性证实所需的设置项可以存储在存储设备中,或者可以存储在经由DBMS访问的数据库中。作为选择,在各个T(4100)处对程序进行准备,同时可以将设置信息输入到该程序中。可以根据在S-1(2000)处管理的T(4100)的项目而从这些方法中选择一种合适的方法。当T(4100)主机的数量相当少(至多数百个)时,直接将设置信息嵌入到程序中的方法是很方便的。这里设置的内容仅需要包括各个T(4100)所需的项目,但它们也可以包括额外的信息,例如由T(4100)使用的管理域名的D(1000)的地址。当应用专利文献2时,存储IP地址信息通知服务器的地址。同样,项目排列顺序也不必如表02中所示。仅需要以不会干扰的方式将这些项目存储在T(4100)的周围。
在本发明中,存储设备是指存储器和外部存储设备;而不是指寄存器或者缓冲存储器。同样,外部存储设备也不必是结合到S-1(2000)或T(4100)处的相应装置中的本地设备。例如,将通过光纤信道访问的磁盘阵列和共享磁盘的已安装NFS简单地当作硬盘驱动器。在重新启动该设备时不必保持临时存储,而在被存储了一段时间之后将其删除,但可以将其配置为存储临时文件的存储器或者硬盘驱动器。
在T(4100)处,对于设置通信来说需要很少的几个项目。这些项目是用于响应通信请求的程序部分所需的项目、和用于答复本身的通信所需的项目,该通信请求是由经同意的方法发起的。如果已经执行了该程序,则将要存储的数据量就很少。用于存储通信设置所需项目的存储设备包括:非易失性存储器、诸如CF卡/智能卡这样的存储卡;具有PCMCIA接口的硬盘驱动器;普通的硬盘驱动器;磁盘驱动器;MO驱动器;以及磁带驱动器。(还包括使用可移动存储媒介(诸如DVD-RAM、CD-RW(使用块写入方法)、以及CD-R(创建图像))的存储媒介读取器)。此外,由于重写的频率相当低,所以,使用诸如CD-ROM、DVD-ROM、ROM盒式磁盘这样的可删除存储媒介的存储设备也可以被使用,其中可以通过置换来修改被存储的内容。(这些存储媒介并不是被直接写入到相应的装置中)。顺便提及,存储设备的接口不需要分开;对于硬盘驱动器来说,USB接口和IEEE1394接口不需要分开,同样,SCSI接口和IDE接口也不需要分开。另外,例如可以在启动***时,使用诸如来自主机的提前规定的TFTP的通信来加载设置。在这种情况下,存储设备是经由通信的一个外部主机,并且在内部存储设备中临时存储这些设置。
可以根据要执行的环境(特定设备)来选择合适可用的存储设备。
顺便提及,正如图15中所示,必须对运行由T(4100)使用的域名的D(1000)执行名字查询。换句话说,主要是假定存在多个D(1000),意味着每次在执行查询时,都要变换查询目的地。例如,当运行由T1(4101)使用的域名的DNS为D1(1001)时,运行由T2(4102)使用的域名的DNS为D2(1002),S-1(2000)通过变换D1(1001)和D2(1002)(它们是不同的D)来执行名字查询。当运行由T3(4103)使用的域名的DNS是D1(1001)(这里没有示出)时,当然应当对D1(1001)执行关于T1(4101)和T3(4103)的名字查询。
因此,针对各个T(4100)或者针对各个D(1000)来执行下面的算法(图23)。
地址验证
S202和S204是地址验证处理。地址验证解决了“缓冲TTL”的问题。
该“缓冲TTL”问题是指,当从DNS服务器(诸如4500或5500)尝试针对T(4100)的IP地址执行前向名字查询时,如果在D(1000)处规定的缓冲TTL期间进行第二或者随后的接入时,则T(4100)在该期间内执行更新,为T(4100)获取了错误的IP地址,因此对主机而不是T(4100)进行接入。
在S202,为了解决“缓冲TTL”的问题,从S-1(2000)到D(1000)执行名字查询(前向)。
图25示出了一个名字查询输出的例子。下划线部分是最后对D(1000)更新的T(4100)的IP地址。当所述输出经历字符串处理并且仅有下划线部分被提取时(即获取T(4100)的IP地址(S204)),将IP地址临时存储在存储设备中。为了更加精确,将IP地址分配给表明T(4100)的地址(目的地),以在下一个步骤中对可达性进行证实。
图26示出了在相同的查询处出现错误时的输出的一个例子。在这种情况下,DNS服务器不在正常状态,或者出现故障。
图27示出了在相同的查询处出现错误时输出的另一个例子。在这种情况下,不会发现T(4100)(在DNS记录中不存在表明T(4100)的信息)。
正如在针对缓冲问题的实际例子中所描述的,当S-1(2000)处的解析器被设置到D(1000)时,或D(1000)的缓冲TTL非常短时,可以忽略对T(4100)的IP地址的验证。
在204处,必要的话,最好执行图24所示的误差校验。如果在D(1000)处出现故障,则在S204接收的答复就变得不规则。在S402处,如果检测到表明T(4100)的数据未被包括在S204处接收的答复中,则作为差错处理。在这种情况下,最好变换到冗余D(1000)范围内的另一个D(1000)(S408到S410);如果问题仍然存在,则停止处理。如果处理被停止,则确定到T(4100)的可达性不存在,即使假定了T(4100)的状态为正常。同样,当D(1000)的可达性很充分时,可以忽略差错校验。在该部分中,我们已经解释了在D(1000)冗余范围内的巡查。
标记和确认
在S206处,对在S204获取的T(4100)的IP地址执行通信,该通信使用预先达成一致(标记)的方法。当可以忽略地址验证时,不必将字符串转变为IP地址。(甚至在这种情况下,使用在前向名字解析处获取的IP地址来执行对DNS的查询)。在S208处,当从S206返回一个答复时,临时存储该答复;当没有从S206返回答复时,临时存储在S206处的完成节点(completion node),然后在S216处执行差错处理。
图28示出了一个例子,即在使用SNMP的GetRequest指令来获得T(4100)的主机名这种情况下的输出。
图29示出了在S206处出现通信故障时的输出的一个例子。特别是,这意味着由于缓冲TTL问题的原因而导致主机名出错(没有将其它的通信终端(主机)设置为接受SNMP)的情况,或者其它通信终端(主机)不存在的情况。
图30示出了在S206处出现通信故障时的输出的一个例子。特别是,这意味着当其它通信终端接受SNMP时,社区名是错误的。
在208处,与上述图29和30中的情况相同,当T(4100)没有从S-1(2000)接受SNMP的GetRequest指令时,执行差错处理。当利用图29和图30所示的SNMP的6etRequest指令而出现差错时,仅在差错输出端返回来自S206的答复;在标准输出端没有返回答复。在这种情况下,应当采取某种动作,诸如为完成节点(表明差错)分配一个标记。
图31示出了当SNMP目标ID未被正确指定时的情形。在这种情况下,正常地返回相应目标ID的值,而且利用SNMP的GetRequest指令不会出现差错,因此应当在S212处进行确定。在该实例中,使用sysLocation。
同样,当在S206处的通信正确,而且与同意的答复不匹配的一个答复被返回(该答复不是应当进行的答复)时,在S212进行确定。
在S210处执行字符串处理,以响应来自所述通信的答复,以便提取T(4100)的主机名(FQDN)。
在S212处,将要进行的答复与应当进行的答复进行比较,该应当进行的答复响应使用经同意的方法进行的通信,而将要进行的答复是来自T(4100)的、针对确定而在S-1(2000)处设置的一个答复。
在S214处,当在来自T(4100)的应当进行的答复与实际的答复之间存在匹配时,T(4100)正确地操作且是具有正确可达性的一个主机,该应当进行的答复被临时存储在S-1(2000)中、并且为了响应使用经同意的方法进行的通信而被返回,该实际的答复由T(4100)进行,以便响应来自S-1(2000)的查询(使用经同意的方法进行的通信)。
输出
在S214和S216处,结果可以输出到常规控制台或由标准输出端、键盘和显示器件组成的终端设备,或者可以作为在存储设备中存储的日志文件而被写入,或者可以经由诸如Syslog、X或SNMPTRAP这样的TCP/IP通信路径输出到另一个主机。另外,该输出还可以作为输入通过电子邮件被传递到SMTP服务器程序,该SMTP服务器程序在将输出链接到后面描述的维护中是有用的。所述结果可以作为两种或更多种这些方法的组合而被输出,也可以被打印到纸件。在实现本发明的过程中,最好使用与后续处理的环境匹配的一种方法(从这些方法中选择)来执行输出。该输出对可达性证实的结果进行正确和错误分类。结果正确如S214所示。
在这种情况下,当目的在于检测故障时,什么都不需要输出。
当输出的目的在于其它目的时,仅需要正确地显示表明针对T(4100)的可达性的消息。在显示消息的过程中,使用从所述方法中选择的最合适的方法。
结果错误如S216所示。
当出现不匹配(S216)时,T(4100)要么不与因特网连接,要么处于由于某种原因而不能执行对D(1000)的更新的状态中。
在S216处,对不能到达的原因进行区别,可能出现两种情况:一种情形是没有进行答复(S208);另一种情形是不存在匹配时(S212);在这种情况下,不能到达的原因最好包括在该消息中并且被写到日志文件中,等等。
顺便提及,当由于某种原因而在T(4100)处出现故障时,这种原因是在S执行图23所示处理时的定时意外地与T(4100)对D(1000)的更新请求的定时重叠时,如果正在等待第二监控定时的达到,则***实际上将返回到正常状态。在这种情况下,在第二监控定时达到之前可能出现的故障应当不被检测为一种故障。
在S-1(2000)处,通过定时器来执行监控程序,因此在紧接着S216之后的步骤(图中未示出)中设置的错误标志可以被用于检测经由步骤S216的传递(pass)是第一、第二还是后面的传递。在正常返回时,最好在紧接着S214之后的步骤(图中未示出)中删除错误标志。
当经由步骤S216的传递是第二传递时,不存在定时问题,而且显而易见的是T(4100)失去联系。因此,最好是通过电子邮件(发布告警或振铃寻呼)代替简单地写入到日志文件来通知进行维护或恢复。
在这种情况下,由于不可能通知不能到达的T(4100)本身,所以应当使用一种有效的方法来通知T(4100)的管理者。然而,下文中将使用表述“通知T(4100)”。
当必须对维护或恢复级进行转变时,以及由于某种原因T(4100)从因特网断开连接时,就不能找到T(4100),或仅可以找到T′(4200),因此T(4100)将与S-1(2000)失去联系,一般来说,为了访问T(4100),T(4100)的安装位置必须是物理可访问的。然而,这阻止了快速故障恢复。最好通过在T(4100)处或与T(4100)相连的LAN处提供连续的控制台(serialconsole)、通过第二维护路径(诸如图14中示出的从S-1(2000)到T(4100)的电话线)来恢复T(4100)。
实施例2
在该实例中,其环境与实施例1中的环境相同,而且SNMP被用作预先同意的通信方法;与sysName相比较,对字符串具有较少限制的sysLocation可以用来代替sysName。通常,在使用sysLocation时,B的替换字符串被用于“将要进行的答复”的值。然而,B本身也可以使用。在这种情况下,B本身被简单地设置为sysLocation。
参见表02的设置项目。
由于实施例1和实施例2都将SNMP用于经同意的通信方法,所以下面给出SNMP的使用注意事项。
当SNMP处于通信状态中时,其可以“知道”几乎所有有关***中的T(4100)状态的事情。同样还可以改变SNMP设置。
本发明的目的不在于使用功能强大的SNMP管理功能;而在于验证分配有动态IP地址的主机实际上是否是所述正确的其它想要的通信终端,该分配了动态IP地址的主机容易失去联系而不能被正确地定位。这里,如果尝试连接到随后常规的管理,而很可能随后的管理方法就是SNMP。在这种情况下,由于SNMP应当对T(4100)提前有效,所以将SNMP用于确定可达性证实的结果是正确还是错误,假定实际上使用了这种环境。(下面将描述两种情况,即不需要随后的管理以及使用除了SNMP之外的方法来证实可达性的情况)。
当使用针对经同意的通信方法(标记)的SNMP时,应当注意下面有关安全性的问题。本发明将PUBLIC用作默认的试验组名,但由于任何人(包括不希望的入侵者)都可以访问这种环境,所以不必在生产环境中使用PUBLIC(或PRIVATE)的默认名。同样,当S-1(2000)的IP地址为T(4100)所知时,必须通过拒绝来自IP地址(而不是S-1(2000))的访问请求来控制接入。
实施例3
在实施例1和2中,T(4100)直接进行拨号。在实施例3中,所提供的网络连接设备独立地执行拨号;T(4100)不直接执行拨号。
如实例例1和实施例2所示,当通过网络连接设备(下文中称为NATBOX)执行拨号时,该网络连接设备能够使用拨号路由器(ISDN路由器等)或PPPoE、PPPoA、DHCP(宽带路由器等)来获取IP地址,并且在使用诸如IP冒充(masquerading)这样的动态网络地址转变(下文中称为NAT;包括NAPT)将全球服务提供给LAN上的多个PC时,以及仅将T(4100)连接到用户LAN(参见图37中的连接配置4到6)时,S-1(2000)可以通过设置静态NAT或者用于网络连接设备的端口转发来执行正确/错误的确定,甚至在T(4100)不直接执行拨号时(甚至当T(4100)没有直接与因特网相连时)也执行这种确定。
对实施例3的考虑与对实施例1和2的考虑相同(其中执行SNMP代理并且在T(4100)中进行设置),除了拨号功能是网络连接设备而不是T(4100)、以及为网络连接设备设置静态NAT或端口转发之外。
实施例4
正如在实施例3中,当计算机不直接执行拨号而网络连接设备执行拨号时,如果在诸如拨号路由器这样的网络连接设备中执行SNMP,则SNMP可以被用作T(4100)。
根据常规的UNIX概念,可以被分配IP地址的所有设备都称为主机。本发明使用相同的概念,而只要设备被分配有IP地址(只要其是通信节点),则就将该设备称为一个主机,该主机要么是路由器要么是NATBOX。在实施例4中,执行拨号的路由器是主机,即T(4100)。T(4100)执行SNMP,因此它是诸如拨号路由器(图37中的连接配置2)的网络连接设备。此外,当该路由器具有诸如IP冒充这样的动态NAT功能时,该路由器可以使LAN上的PC对DNS进行更新,甚至在该路由器不具有执行对DNS的动态更新的功能时(图37中的连接配置3)。
在这种情况下,当登记在D(1000)中的名字与动态更新的主机名相同、并且在拨号路由器中被设置时,S-1(2000)可以确定T(4100)是正确还是错误(与实施例1中的相同)。然而,如果将更加灵活任意的字符串作为将要由T(4100)进行的答复时,则通过使用sysLocation(与实施例2中的相同),配置将变得更加灵活。
实施例5
实施例5使用用于预先同意的通信方法的DOMAIN(DNS)。
假定T(4100)是具有可执行BIND和可设置(明确地改变)版本信息的计算机。这里,假定将DOMAIN(DNS)用作预先同意的通信方法,而将版本信息用于相互同意的答复。
假定T(4100)直接通过拨号相连,或者具有静态NAT或通过网络连接设备设置的端口转发。
S-1(2000)通过定时器来执行监控程序。
其它的条件和设置与实施例1中的相同。
在准备阶段,假定下面的内容得到同意并且被设置。
将要进行的答复是可对任意字符串进行改变的版本信息,该任意字符串是由在T(4100)运行的BIND返回的,该将要进行的答复是对使用预先同意的方法、且在T(4100)设置的通信的答复。
T(4100)可以为本地LAN环境提供DNS服务,甚至在T(4100)不提供旨在因特网的全球名字服务时。
图32示出了如何在T(4100)为BIND设置版本信息。
作为标准的操作,如果版本信息未被明确设置的话,BIND通常将返回程序本身的版本,如图35所示。如果程序版本信息对网络攻击者是公知的,则攻击的方法也是公知的,所以可以慎重地改变版本信息,以便试图阻止任何攻击者。然而,由于可以任意地设置版本信息,所以这里例如可以将B的替代字符串设置为将要进行的答复。
再次参见图23,S202和S204是地址验证处理过程。这与实施例1中的相同。
在S206处,对在S204获得的T(4100)的IP地址执行通信,该通信使用预先同意的方法。
在S208处,当返回一个答复时,对其进行临时存储;当不返回一个答复时,临时存储在S206处的完成节点。
图33示出了使用dig来获得BIND版本信息的输出的一个例子。下划线部分是将要进行的答复,该将要进行的答复是对使用经同意的方法、且在S-1(2000)设置的通信的答复,而且其应当是来自T(4100)的一个答复(图32中的下划线部分)。
这里可以使用任意字符串,但要符合将要进行的答复的类型。
图34示出了两种情况,即当前不存在分配有IP地址的主机的一种情况,其中该IP地址预先分配给了T(4100),以及的当前存在分配有IP地址的主机T′(4200)的一种情况,其中该IP地址预先分配给了T(4100)且BIND不在T′(4200)处进行操作。
仅有作为输出到差错输出端的一个差错被包括在矩形中;其它的差错是被输出到标准输出端的差错。
图35示出了当前存在分配有IP地址的主机T′(4200)的一种情况,其中该IP地址预先分配给了T(4100)且BIND在T′(4200)处进行操作。在这种情况下,不出现dig命令输出差错,因此是否出现差错应当在S212来确定。
在S210,执行字符串处理以提取在T(4100)处操作的BIND的版本信息,来响应对所述通信的答复。
在S212处,为了进行确定,在该答复和存储在S-1(2000)中的应当进行的答复之间进行比较。
当在将要进行的答复与存储在S-1(2000)中的应当进行答复之间存在一种匹配时,T(4100)在S214处是具有正确可达性的主机,其中所述将要进行的答复由T(4100)通过使用确认来携带。在S214处,与实施例1中的相同,最好将一个消息写入到日志文件中,或者将处理过程进行到随后的正常监控。
当不存在匹配时(即在S216),最好执行与实施例1中的处理相同的处理。
实施例6
实施例6使用了用于先前同意的通信方法的SMTP。
假定T(4100)是具有可执行SMTP服务器的计算机。同样假定SMTP用于先前同意的通信方法,同时将T(4100)的主机名(FQDN)用于相互同意的答复。
假定T(4100)直接执行瞬时连接,并且具有静态NAT或通过通信连接设备设置的端口转发。
S-1(2000)通过定时器来执行监控程序。
其它的条件和设置与实施例1中的相同。
将要进行的答复是在T(4100)处设置的主机名本身,该将要进行的答复是对使用在T(4100)设置的预先同意的方法的通信进行的。
当连接到SMTP服务器时,通常输出在图36中示出的消息。(例如用于SENDMAIL,最常用的SMTP服务器。然而,在QMAIL的情况下(其次最常用的SMTP服务器),主机名被包括在或可能被包括在所述消息中)。
在该消息中,以FQDN格式(图36中的下划线部分)来显示主机名,以便可以将主机名用作一种是否可以达到T(4100)的标识符的确定,或者换句话说用作将要进行的答复。
实施例7
实施例7使用HTTP,该HTTP用于预先同意的通信方法。
假定T(4100)是具有可执行Web服务器的计算机。这里,将HTTP用于预先同意的通信方法。换句话说,由于在T(4100)处的等待服务是Web服务器,所以任何字符串都可以被用作相互同意的答复。
假定T(4100)通过拨号直接相连,或者具有静态NAT或通过网络连接设备设置的端口转发。
S-1(2000)通过定时器来执行监控程序。
其它的条件和设置与实施例1和2中的条件和设置相同。
将要进行的答复是一个任意字符串,该将要进行的答复是对使用在T(4100)设置的预先同意的方法的通信进行的,该任意字符串嵌入到由HTTP服务器返回的字符串中,该HTTP服务器在T(4100)处进行操作。
由于Web服务器对除了计算机工程师之外的其它人也是熟知的,所以可以在服务器上提供多种服务的其中一种,该服务器在T(4100)处或在用户网络上提供TCP/IP服务。由于HTTP可以传递任意字符串,所以可以将字符串用作对一致通信的一种答复。在多个Web服务器上,在不规定文件名时,Index.html文件是开放的(从Web服务器传送到客户)。仅有作为答复的字符串需要输入到文件中。例如,在Index.html文件首页正文中的第三个字处的字符串已得到同意。然而,在这种情况下,可以在更新时有意改变在正文中的第三个字处的字符串,所以最好与另外的文件名一致,而且文件中的特定字符串要与所述答复一致。同样,可以将字符串嵌入到HTML<META>语句中,或者可以将<TITLE>用作经同意的答复。简而言之,当使用HTTP时,经同意的通信方法和计划中的答复之间的边界变得模糊不清。例如,当URL包括特定的目录名和文件名时,适当地将其考虑为一种通信方法。然后,在这里进行如下的考虑,即是否应当将被传送的HTML语句的正文中的第三个字考虑为一个答复?第三个字同样应当与通信方法相一致,但是应当注意,因为不存在由于实施例1、2和5中所示协议而引起的限制,所以需要更加具体的一致性。
同样,当HTTPS被用作经同意的通信方法,同时将SSL服务器证明书(certificate)结合到T(4100)中时,可以使用该SSL服务器证明书的指纹序列号,或者还可以简单地使用组织名、公司名、或服务器名。
在实施例1和2中,除了从S-1(2000)之外的用于验证T(4100)的接入受到限制。然而,与实施例不同的是,当更多的人想要作为公共服务器来验证T(4100)时,将HTTP作为通信方法使用是有效的。
顺便提及,HTTP通常监听TCP端口80,但通常也会有意地监听其它的TCP端口。甚至在这样一种情况下,如果可变的TCP端口在S-1(2000)和T(4100)之间达成一致,则可以将该端口用于证实T(4100)是否是具有正确可达性的主机。
同样,当在端口88(例如)接受Web访问(该Web访问用于改变NATBOX本身的设置)时,以及当反向代理(reverse proxy)在端口80进行操作(不存在静态NAT或者端口转发设置或者实施例3的复合类型)时,可以在具有反向代理的传送目的地Web服务器上执行在实施例7中预先同意的通信。
上述实施例1到7已经解释了如何返回一个将要进行的答复。在这些实施例中,使用现存的Daemon进行解释,以便于用户理解。这些仅是转用旧方法的一些举例。正如在标题为“执行处理(5)的主机”的部分中所解释的,应当在这些例子中实现T(4100)。
实施例8
下面将解释在实施例1到7中在T(4100)侧的连接配置。
在实施例8中,不考虑T(4100)是通过拨号路由器还是NATBOX进行连接,也不考虑T(4100)是否直接进行拨号,只要某种信息可以作为将要进行的答复被存储到T(4100)处的存储设备中,以及可以从该存储设备中读取所存储的信息,以便响应使用任意预先同意的方法进行的通信,以及可以返回至少包括所述信息的一个答复,就可以将该答复用于证实T(4100)是否是具有正确可达性的主机。在该实例中,Web服务器监听TCP端口,该TCP端口通常不被用作在实施例7中已经解释的端口。或者,当客户连接到FTP服务器时显示的欢迎信息也可以被用作预先同意的通信方法。此外,如果不经常使用的通信方法在S-1(2000)和T(4100)之间得到同意的话,则该不经常使用的通信方法(不是公知的),诸如唯一的协议(uniqueprotocol)也可以被用作预先同意的通信方法。
可以将T(4100)划分为下面的功能:
a:主机执行拨号
b:主机对D(1000)执行动态更新
c:主机具有T(4100)的功能
这些功能可以分解到不同的主机之间(用于各个主机的功能),也可以由单个主机兼备。这是通过网络连接配置影响的。
图37概括了用于T(4100)的用户网络的连接配置。
上述调制解调器的类似于发光的闪电线表示电信线路,而上述的椭圆形线表示网络云。在顶端的小的矩形是S-1(2000)。
调制解调器通常仅指调制解调器,但这里还包括电缆和ADSL调制解调器(或TA)。(如果数字服务单元和光网络单元存在的话,这里还包括它们在内)。该调制解调器还涉及用于在通信路径上形成物理边界但不提供路由选择功能的设备。在图37中,将调制解调器绘制为一种独立设备,但实际上调制解调器可以结合到网络连接设备或计算机中。如果在网络连接设备或计算机中结合了类似于调制解调器的功能,则这些功能应当以网络连接设备或计算机来处理。因此,在本发明中,尽管调制解调器在功能上需要执行通信,但不需要形成TCP/IP都理解的网络边界,因此不会单独考虑调制解调器。
在紧挨着图37中的调制解调器下方的对象始终具有瞬时连接的功能;该对象是网络连接设备和计算机。
“网络连接设备”是指提供路由选择功能或协议转换功能、且对可理解TCP/IP的网络边界进行配置的一种设备。在图37中,网络连接设备表示为“路由器,等”。
“计算机”是指能够使用户运行程序的一种设备;就这方面来讲,计算机与网络连接设备相区别,即使计算机与网络连接设备具有相同的功能。用户终端也可以被包括在计算机的定义中。
主要在各个连接配置中解释T(4100)设备的形成。
实施例1的典型实例是连接配置1。在这种情况下,计算机直接执行瞬时连接。同样的连接配置1也适用于实施例2。在这种配置中,“b”(更新D(1000)的主机)和“c”(具有T(4100)功能的主机)与“a”(执行拨号的主机)相同。在这种情况下,“a”(执行瞬时连接的主机或计算机)配置网络边界。因此,如果执行NAT或执行VPN隧道效应,则意味着如果提供网络连接设备的功能或者对相应的网关进行配置,则也可能提供到虚线范围内的计算机的网络连接。
在实施例4中,经由网络连接设备相连的计算机是“c”(具有T(4100)功能的主机)。典型的例子是连接配置2。此外,连接配置2是连接配置3的一个例子,其中在连接配置2中,网络连接设备不能更新D(1000),同时“b”(更新D(1000)的主机)是一台计算机。
实施例3和5到7示出了诸如“a”(执行瞬时连接的主机)、“b”(更新D(1000)的主机)和“c”(具有T(4100)功能的主机)的已划分功能,并且在计算机和网络连接设备之间分配这些功能。典型的例子在连接配置6中示出。
例如,当网络连接设备可以更新D(1000),而且主机不被限定到T(4100)(提供了功能“b”,但没有提供功能“c”)中时,可以使用连接配置4。在连接配置4到6中,“a”(执行瞬时连接的主机)是路由器,但计算机可以取代该路由器;这是连接配置1的一种应用。除了明确地示出了执行瞬时连接的网络连接配置的实施例3和4之外,通常可以通过添加软件将计算机用作“c”(具有T(4100)功能的主机),或者用作“b”(更新D(1000)的主机),因此,连接配置1可以用于任意实施例。换句话说,除了实施例3和4(明确地示出了执行瞬时连接的网络连接配置)之外,计算机都可以是路由器“a”。在这种情况下,“a”(执行瞬时连接的主机)应当具有静态NAT或至少为“c”(具有T(4100)功能的主机)设置的端口转发。在图37中,“a”(执行瞬时连接的主机)仅出现在调制解调器的“下部”,“a”也可以是计算机或网络连接设备。这就表示用户网络LAN可以是多级LAN。
实施例5到7可以用于所有连接配置。然而,当将实施例5到7应用到连接配置2或3时,必须这样来配置连接配置2或3,即网络连接设备可以返回携带将要进行的答复的确认,以响应标记。
假定“a”(执行瞬时连接的主机)、“b”(动态更新D(1000)的主机)和“c”(具有T(4100)功能的主机)被安装到同一个LAN(或在相同的位置)上,则从广域网(WAN)的角度看,LAN存在于网络侧。当WAN是因特网时(更加简明地,当需要NAT时),经由WAN的通信不能区分“a”、“b”和“c”。因此,LAN是计算机和网络连接设备的一个集合,该集合对外部看上去像是一个单通信节点。(与存在LAN、且仅有一个终端对ISP执行终端类型的拨号的情况相同)。在本发明中,将LAN成为用户网络或端站点。从WAN的角度看,特别认为该端站点是在边缘,但实际上与用户网络中的情形相同。该端站点是包括在包含调制解调器等的虚线中的部分。连接配置1到6是用户网络的一种细分,并且是通用的,其中在不考虑用户网络是否属于连接配置1到6中的任意一种的情况下,S-1(2000)不能区分“a”、“b”和“c”。因此,S-1(2000)既不必考虑用户网络的配置,也不必考虑T(4100)是否位于用户网络(LAN)上。
用户网络假定使用专用IP地址。作为结果,即从来都不会执行从因特网到用户网络的直接路由选择。主机“a”(执行瞬时连接的主机)对因特网和用户网络之间的接点进行配置。路由选择在“a”(执行瞬时连接的主机)处停止,所以该路由选择不可能从因特网直接到达“b”或“c”。
上面描述是WAN是因特网的这种情形。然而,WAN还可以是具有I型和II型载波的不与因特网相连的TCP/IP网络,或者还可以是不与因特网相连的专用TCP/IP网络。在这种情况下,NAT不是必要条件,并且路由选择可以从其它网络上的D(1000)或S-1(2000)接入到T(4100),以便直接到达T(4100)。
在实施例1到7中,为了说明的目的,将WAN表示为因特网。然而,本发明可以在全球因特网和TCP/IP网络上实现。
表03示出了用户网络和外部网络之间的关系。
表03
  WAN   DNS(D)   经由路由选择的可达性          在网络边界中
  相连网络的数量   管理目标设备的I/F
  因特网   (1)   存在 公共   一直到WAN侧   1(仅WAN)   没有选择
  (2)   一直到WAN侧   2个或更多(LAN和WAN)   在WAN侧的I/F
  不与因特网相连的WAN   由电信载波提供的服务   (3)   存在   专用   一直到WAN侧   1(仅WAN)   没有选择
  (4)   一直到WAN侧   2个或更多(LAN和WAN)   在WAN侧的I/F
专用网络   (5)   存在   1(仅WAN)   没有选择
  (6)   存在   2个或更多(LAN和WAN)   在WAN侧的I/F
  仅LAN   (7)   存在   专用   不需要   1(单级LAN)   没有选择
  (8)   存在   2个或更多(多级LAN)   上游I/F
(1)是不存在LAN、且仅有单终端对ISP执行终端类型的拨号的一种情形。在这种情况下,没有LAN,但由于终端与因特网相连,所以要考虑连接到网络(即考虑不是独立的)。由于不存在LAN,所以存在一种没有用户网络的争论,但可以将这种情况当作是仅执行回送的用户网络,并且与WAN相连。(3)和(5)类似于(1)。
(2)是表示因特网连接的一种情况。到目前为止的解释都假定了使用这种模型。下面将解释这种模型和其它模型之间的不同带来的影响。
(4)是通过类型1和类型2载波提供的没有连接到因特网的TCP/IPWAN的一种情形。PC通信和FLET(注册商标)局受到这种类型的影响。利用与(2)相同的方式来处理这种情况不存在问题。D(1000)是专用的这种情况不会影响本发明;其只对用于域名的命名规则构成了一种限制,该域名用于常规的专用网络。
(6)是专用网络的一种情况。通常,利用组织内部使用的租用线(诸如ATM Mega链路或IP-VPN这样的服务)来配置专用网络并且对其进行路由选择。在(4)这种情况中,如果不存在IP-VPN,则通常不会为用户网络(到用户网络内部;其到达网络端)提供路由选择。然而,这在逻辑上包括一种情况,即借助于由(6)中的类型1和类型2电信载波提供的服务,将路由选择提供给用户网络。在这种情况下,外部网络可以直接通过路由选择来访问用户网络上的主机,超过了网络边界。换句话说,甚至当T(4100)不只在调制解调器下面出现时,也通过在用户网络上的DHCP服务器(包括DHCP延迟服务)、而不是通过上游网络为“a”(执行瞬时连接的主机)动态地分配一个IP地址。由于主机为T(4100),所以这种情况就相当于图37所示的连接配置1到3。顺便提及,很长时间以前,在运行专用网的一些公司和大学中,使用IP地址***进行全球地址分配。这种专用网可以考虑因特网本身的构成部件。
(8)是网络仅由多级LAN组成的这种情况。例如被划分为若干个部分的一种商业上的建立,其中的每部分都是一个基础(floor),而且分别经由商业骨干网相连。这种情况非常类似于专用网络的情形,除了下列情形之外:即没有WAN,或者网络不与因特网相连,或者网络不与WAN相连(该WAN不与因特网相连),或者即使网络与因特网相连、但该连接可以被忽略的情形(即当利用强有力的安全性策略从一个组织连接到因特网时,存在一组高墙(high wall))。这里,LAN是多级的情形并不意味着仅仅是使用集线器的多列LAN;其意味着将网络划分为多个逻辑部分,并且对它们执行路由选择。当与S-1(2000)相连的LAN不同于连有T(4100)的LAN时,后一个LAN被认为是用户网络,并且可以认为与(4)或(6)相同。
上面假定了进行物理和逻辑两部分的划分。然而,例外的一种情形是具有两个或多个逻辑部分的单个物理部分。例如,可以将网关设备配置为将两个或多个属于不同网络的IP地址分配并延迟到单个接口。这种情况与单LAN(单级LAN)的情况相同。
(7)是单LAN的情形。在这里可以实现本发明,但是当仅存在一个单级LAN(意思是没有外部网络)时,各个主机都能够直接地并且在本地进行通信,而不需要TCP/IP的合理的延迟,因此甚至在主机被分配了动态IP地址时,也不需要参考D(1000);通过除了TCP/IP之外的协议对可达性进行证实将更加地现实。
不用说,本发明不考虑T(4100)是独立的这种情形,因为没有其它的通信终端。
(2)、(4)或(6)与(8)共同存在。
因此,对于所有的模型(1)到(8)来说都可以实现本发明。(但存在另一个问题,即本发明对于模型(7)是否有意义)。
图38示出了针对主要多级LAN的可能的问题。图38还示出了用户的LAN分析。没有连接到因特网的专用网的情形与由电信载波提供的服务的情形认为是相同的。在上述两种情况中,用户网络被认为是直接与T(4100)相连的部分。将网络1和网络2分别划分为LAN和WAN两种情形。
图38示出了模型1到3。模型2和模型3类似于表03中示出的模型(4)到(6),而且不存在任何问题。模型1可能存在的问题是网络1是LAN。与表03的(7)中示出的单LAN一样,T(4100)和S-1(2000)在同一个LAN上,因此使用除了TCP/IP之外的协议来证实可达性是可行的。然而,甚至在这种情况下,如果假定T(4100)在另一个网络上,以及S-1(2000)管理所述T(4100),则实现本发明是很有意义的,因为本发明必须在管理其它网络上的T(4100)时实现,最好是统一这种管理方法,以便S-1(2000)执行集中式管理。表(03)的(8)中的设备如模型(2)所示被放置时,相当于表(03)的(2)、(4)或(6),因为S-1(2000)和D(1000)都属于外部网络(从T(4100)的角度看)。
将除了TCP/IP之外的协议假定为不必经历路由选择。
由于P(4000)被认为是包括T(4100)的一个网络,所以我们在这里将解释一种情形的特性,这种情形是从P(4000)的观点来看,功能是复杂的。在图38中,包括T(4100)的网络1对应于P(4000)。甚至当P(4000)为DHCP时,后一种解释假定了网络1是包括DHCP服务器的一种网络。同样,网络2简单地是一种并非网络1的网络。
具有复杂功能这种情况的特征
S-1(2000)和P(4000)相结合的情形
这种情形是图38中的模型1。根据后面描述的不使用本发明的条件1,S-1(2000)可以证实属于P(4000)网络的T(4100)的可达性。然而,由于T(4100)和D(1000)属于不同的网络,所以S-1(2000)不能够验证实际图像和映射图像之间的关系的正确性。换句话说,本发明所提供的可达性证实需要提供D(1000)获得的T(4100)的主机识别力。
S-1(2000)和D(1000)相结合的情形
这种情形是图38中的模型2。
不需要地址验证。这种情形带来了另一个效果,即在后面所述实际应用中的第三过滤器实例中解释的效果。
D(1000)和P(4000)相结合的情形
这种情形是图38中的模型3。
包括T(4100)(P(4000))的网络属于同一个组织,该网络是分配IP地址的主题。
正如较早前所解释的,对于这种情况通常不存在问题。
然而,这种基于条件1的P(4000)更新D(1000)的一种边界情况。
条件1
P(4100)在特定的位置。
这里,P(4000)是将IP地址分配给T(4100)的主题。所以,P(4000)自然地会跟踪T(4100)的IP地址,而P(4000)也可以自然地确定T(4100)是否相连接。
上面是条件1。
另外,可以在P-D(4500)设置反向名字解析。这种情况与较早的一种情形相矛盾,该较早的情形是:在标题为“与静态标识符和动态分配的网络地址相关联的单向性”的部分中,“DNS可以执行前向和反向解析,但动态DNS仅可以执行前向名字解析”。只要P(4000)和D(1000)相结合,则在这种情况下,由于不存在管理权限的问题,所以P(4000)可以更新P-D(4500),P-D(4500)在这种情况下是D(1000)。然而,P-D(4500)和D(1000)相同时,仅表示P-D(4500)通知由T(4100)发布的静态标识符。(换句话说,P-D(4500)具有D的功能。)
因此,P(4000)可以确定T(4100)状态的变化,而且还可以反映对D(1000)的变化。所以,在动态DNS处,主机名本身具有跟踪能力和辨别力。
这里,将经由静态标识符来自外部网络的参考力(referenceability)称为主机辨别力。对于最初在网络中具有主机辨别力的主机来说,不需要可达性证实来确定主机是正确还是错误。
因此,这是一种边界情形。
然而,需要非常复杂的设置来使P(4000)和D(1000)彼此充分地合作。因此,最好使用本发明来证实可达性。
此外,当D(1000)为DNS时,由缓冲器来影响从外部网络的接入。
迄今为止,我们已经解释了各种模型,但这种解释是复杂的而且很难去理解。这是由于详尽地解释网络如何连接是有难度的。因此,随后的解释将使用基于路由选择停止的大致分类,不考虑网络是LAN还是WAN。
当S-1(2000)能够直接通过路由选择到达T(4100)时,自然地S-1(2000)可以识别各个T(4100)主机。在这种情况下,T(4100)必须具有拨号功能(分配动态地址的功能)、更新D(1000)的功能、以及作为T(4100)的功能。这种情况相当简单。
当在执行拨号的主机处停止路由选择时,必须在该主机处设置端口转发,以便来自外部网络的S-1(2000)的访问可以到达T(4100),或者必须将该主机设置为T(4100)。这种情形比S-1(2000)能够通过路由选择到达T(4100)的情形更加复杂;这种情形的具体实例已经作为实施例进行了详细的解释。在这种情况下,拨号功能(动态分配IP地址的功能)、更新D(1000)的功能、以及作为T(4100)的功能(将确认返回的功能或者允许证实可达性的功能)可以由3个独立的主机或单个固定主机来提供。然而,这种情况是有代表性的,因为是作为用户网络的典型代表,从外部对T(4100)进行验证的。
实施例9
当存在诸如路由器这样的网络连接设备,同时用于执行设置的Web接口变化时,该服务监听端口80(公知端口)(与由RFC1700 ASSIGNEDNUMBERS定义的公知端口相同或相类似)。在诸如防火墙这样的设备处,例如端口88(端口80之外的一个端口)可以监听Web访问,以执行设置的改变。新近的打算用于终端用户站点的网络产品为WAN和LAN侧提供独立的接口,而且在许多情况下,WAN侧上的端口要经历访问控制。
这里,在网络连接设备(即使不是防火墙)处,端口88(端口80之外的一个端口)监听执行设置变化的Web访问,而且该端口经历访问控制。在这种情况下,端口80监听正常的端口访问,而不经历端口控制。另一种方法是,可以在传送目的地服务器处经由在端口80上运行的反向代理,来实现在实施例8中所示的预先同意的通信。该配置如下:将主机名登记在设备中(在许多成本较低的打算用于终端用户站点的产品中,可以不设置主机名),同时将主机名存储在诸如非易失性存储器这样的存储设备中。当在端口80处接收一个通信请求时,从所述存储设备中读取已存储的FQDN(包括主机名的字符串),并且将其返回。(该主机名是在D(1000)处设置的用于通知设置图像的FQDN。)
当S-1(2000)试图与T(4100)进行通信时,可以使用多个实施例的组合。例如,对于网络连接设备(实施例4中所示)来说,将HTTP用作经同意的通信方法(在实施例7中所示),而将FQDN用作经同意的答复(实施例1中所示,但,是HTTP而不是SNMPsysName)。正如前面所解释的,允许图37示出的连接配置中的任何位置,并且还允许在连接配置6中示出的在用户网络上的计算机位置。当在这配置的设备是网络连接设备时,在该网络设备的下面可能存在其它的网络。同样,这里配置的设备不需要必须是图37中示出的“a”(执行瞬时连接的主机)。
如果这里的设备是图37中示出的“a”(执行瞬时连接的主机),并且该网络需要用于可达性证实的NAT,则当端口80用于上述标记—确认时,需要端口转发来提供Web服务,因此必须通知除了熟知端口以外的端口。这就减少了在试图基于用户网络提供Web服务时的便利性。因此,最好是对于类似的端口,将标记列表提供给Web服务。换句话说,3种类型的端口都可以被配置为等待HTTP访问,这3中端口是:用于设备设置的端口,用于网络管理的、使用标记—确认的端口,以及用于提供Web服务的公知的端口,该Web服务用于通常的流览。(然而,可以设置端口转发来代替这里所描述的设备的响应。)
上述解释说明了实施例9,其通过将通信方法固定到HTTP同时使用用于答复的FQDN进行简化。通常,就扩展能力来说,网络连接设备不如计算机。“不如”不仅仅是意味着执行额外的程序来增加功能,而是意味着需要进行固件更新,对于用户来说这不容易。因此,在实施例9中,对于通过使用路由器或者具有受限存储设备能力的NATBOX来实现网络连接设备也是可能的。
T(4100)不仅可以是网络连接设备,而且还可以是计算机,由于T(4100)是紧凑型,所以还可以是一种仅用于返回确认的专用设备。专用设备仅需要用于使S-1(2000)进行可达性证实的功能,并且仅需要一个单接口。例如,如果T(4100)是图37的连接配置6中的“c”(尽管图37示出了“c”是计算机,但我们假定“c”是所述的专用设备),以及如果执行瞬时连接的主机外部的网络不能经由因特网路由选择到达T(4100),则若为所述主机设置静态NAT或者端口转发,则该外部网络可以到达T(4100)。在这种情况下,如果仅为***分配LAN上的IP地址,则以相结合的方式通过外部网络对该***进行参考,因此当专用设备证实可达性时,S-1(2000)可以验证用户网络及其边界节点具有正确的可达性。换句话说,如果具有单接口的设备在实施例中得以实现,则可以仅通过为执行拨号的主机设置端口转发来证实可达性。这样一种设备是简单的,而且能够以较低的成本来制造,同时还可以作为一个单独的单元或者嵌入式底板或软件包来提供。如果以软件来实现这种设备,则可以减少设置,甚至当其在计算机中使用时。在这种情况下,这种设备最好是在存储媒介读取器中实现的可移动式存储介质,正如前面针对存储设备所解释的。
实施例10
例如,当T(4100)是移动终端时,这是一种有效的方法。
这里,移动终端是指蜂窝电话或者PC。这里PC是指由一般用户使用的计算机终端。
在这种情况下,T(4100)的功能可以实现为一种应用程序。
这里的应用程序不仅包括独立的应用程序,而且还包括常规的程序(例如嵌入式流览器软件)。
当使用该嵌入式流览器软件时,最好将其用于控制将要进行的答复的设置,并且用于独立地通过由流览器软件调用的等待驻留软件来返回答复。
在这种情况下,如果已经如实施例7所示实现了Web服务器,则可以很好地使用,对于提供独立的等待驻留软件以便其它端口对标记进行监听来说也是可以的。
同样,还可以实现这种驻留软件,使得其被停止。
实际上,使用驻留软件还具有另外的目的,即在实际应用中示出的S-2(5300)对可达性进行证实时,该驻留软件可以用作用户接口。换句话说,流览器软件还可以显示可达性证实的结果,该可达性证实是通过单独的称为可达性证实程序的程序来执行的。
(实际应用)
可以将可达性证实考虑为显示结果(在图23中的S214或S216),而后结束,而不考虑是否存在随后的动作。实际应用是一种灵活使用的分类法,该分类法示出了可达性证实结果的可用性。
该灵活使用的分类法是以下面的观点为基础的。从操作模型的观点考虑,将这种分类划分为对等模型和客户—服务器模型。从什么是S(S作为用于证实可达性的主题)的观点考虑,分别是下面的类别,即S-1(2000)、S-2(5300)和D(1000)。它们都可以表示为S的主题。
从什么是用于显示结果的其它通信终端的观点考虑,这些分类是:T(4100)、S-1(2000)、S-2(5300)和D(1000)。它们表示所述主题。(当然,可达性证实的主题总是T(4100)。这里的主题是指:受益于使用所述显示结果的人。)
从可达性证实结果可用性的角度考虑,这些分类为:故障检测、显示、过滤以及AB对映射图像的检测(第三过滤实例)。它们表示为可用。
下面的表格概括了上述代表性实例
表04
  主题   对象   种类  使用
  S-1   T   故障检测  检测并通知T处的故障
  S-1   S-1   过滤  对T进行业务量监控
  S-1   S-2   显示  代替Ping
  S-2   S-2   显示  代替Ping
  S-2   S-2   过滤  进行预备处理以连接到随后的通信程序
  D   D  具体实例(过滤)  AB对映射图像的检测
针对T(4100)执行的故障检测和针对S-2(5300)执行的显示是相似的概念。它们都使用可达性证实作为Ping的代替。
针对T(4100)执行的故障检测是一个更加受限的概念,正如前面在实施例1中所解释的,在T(4100)处进行故障检测并且催促T(4100)对故障采取动作。这里的T(4100)不是作为通信节点的T(4100);而是T(4100)的管理者。
针对S-2(5300)执行的显示是一个更加简单和宽泛的概念,并且仅显示源站是否可以正确地的到达T(4100)。
过滤不只执行显示;其还利用针对随后动作进行的可达性证实的结果。
故障检测和过滤相类似,因为假定了随后的动作存在。
故障检测假定了随后的动作是人为执行的恢复处理。同时,过滤假定了随后的动作是一段程序,且将可达性证实的结果结合到一系列处理中。
现在,当检测到不能到达T(4100)时,应当考虑T(4100)是否存在故障。例如,在专利文献2中,当正常的检查检测到不能到达T(4100)的等同物时,将不能到达检测为异常。本发明中定义的故障检测具有相似的概念。然而,其它的情况(诸如滤波或显示)没有假定一种情形,即只有当T(4100)被连接并具有正确的可达性时,具有间歇连接和断开的T(4100)才是正常的。换句话说,它们假定了在不可能到达T(4100)时,该T(4100)也是正常的。简而言之,根据T(4100)的特性来考虑T(4100)是否出现故障。当T(4100)始终可由其它主机访问时,不能访问的状态就是故障;当T(4100)间歇地连接和断开时,其一定是不可以访问的,但不能访问的状态并不是故障。
在故障检测的情况中:
电子邮件和袖珍的页面调度(pocket paging)可用于将故障通知给管理目标设备的主人。SYSLOG和SNMPtrap可以用于将故障通知给管理者。这些通知的目标是人,但实际上已将这些通知分配给随后的程序,所以还可以在后面描述的过滤中包括这些通知。在实施例1中对故障检测进行了描述。
在显示情况中:
将显示用作Ping的代替(即,为了确定达到主机的可达性是否是正确的)。
公共显示(public display)意味着为S-2(5300)显示针对T(4100)的可达性证实的结果是正确还是错误。在S-1(2000)上执行显示的操作模型是客户—服务器模型。在S-2(5300)(由一般用户使用的终端)上执行显示的操作模型是对等模型。
允许在客户—服务器模型中的S-2(5300)作为未指定的大多数。在这种情况中的S-2(5300)仅是网络上的一个通信节点,并不需要具有可执行的S的功能(证实可达性的)。因此,在这种情况下,显示是公共的,并不是针对S-2(5300)本身。
另外,S-1(2000)(验证可达性的主题)不必与执行针对T(4100)的故障检测的S-1(2000)相同。例如,甚至在主题为S-2(5300)时,如果显示针对另一个S-2(5300)的可达性证实的结果,则可以将其认为是S-1(2000)。然而,当S-2(5300)是主题时,通常仅需要针对其本身进行可达性证实。
下面概括地对S-2(5300)进行了解释。
存在两种类型的S-2(5300)。一种是具有S功能的一般用户。另一种是不具有S功能的一般用户。在这种情况下,S-2(5300)执行客户—服务器类型的操作,并且利用S-1(2000)对其进行设置。
作为使用可达性证实结果的方法的显示最接近于常规的Ping。然而,Ping相对简单并且具有广泛的应用。这里,可达性证实具有基于Ping的优点,其中该可达性证实可以确定到主机的可达性,该主机分配有Ping不知道的动态地址。
图39示出了当S-2(5300)使用本发明对T(4100)进行可达性证实时的图形。图形(a)用于使用Ping的情形;图形(b)用于使用可达性证实的情形。
如(a)中所示,对于常规的Ping来说,S-2(5300)直接指定其希望证实的其它通信终端的主机名和IP地址。
另一方面,对于本发明来说,当S-2(5300)的用户希望对T(4100)进行可达性证实时,S-2(5300)将要求S-1(2000)证实可达性,指定T(4100)的主机名。这是图39的(b)中的(1)。
然后,在S-2(5300)的位置处,S-1(2000)对T(4100)的可达性进行证实。这是(2)(=标记)和(3)(=返回将要进行的答复)。
然后,将结果通知给S-2(5300)。这是图39的(b)中的(4)。
可以将命令用作一个例子,但这里使用Web网页,因为Web网页可以由S-2(5300)的用户容易地使用,S-2(5300)的用户不具有计算机和通信的知识。
显现由CGI生成的消息和按钮组成的屏幕。
第一个屏幕相应于图39的(b)中的(1),这是一个示范性屏幕,其中S-2(5300)进入一个Web网页,并且指定S-2(5300)希望进行可达性证实的T(4100)。
显示诸如“希望证实可达性的主机是什么”或“键入将要对可达性进行证实的主机的名字”这样的消息,并且在该消息下面显示主机名输入字段。可以产生具有诸如“执行”和“证实”这样的按钮的Web网页。当在专利文献2中不使用DNS时,***可以在生成Web网页之前键入一个条件,或者作为屏幕的一个选项。该条件例如是在专利文献2中相应于D的地址信息。
第二个屏幕显示了当T(4100)具有正确可达性时的结果(图39的(b)中的(4))。可以显示类似于在即时投递员格式中的“在线”或“存在”消息、或Ping格式中的“可达到”消息。
第三个屏幕显示了当T(4100)不可到达时的结果(图39的(b)中的(4))。与第二个屏幕相同,类似于“离线”或“不存在”或“不可达”的消息可以作为消息内容来显示。在第二和第三个屏幕上放置“返回”按钮是合理的。
在这种情况下,可以基于S-1(2000)的内部定时器、或者在S-1(2000)从S-2(5300)接收一个可达性证实请求时,执行一个S-1(2000)对T(4100)执行的可达性证实。
顺便提及,由于在客户—服务器模型中S-2(5300)不具有S的功能,所以在T(4100)的地址之后就立即发生变化,S-2(5300)可能不会到达T(4100),这是由于在屏幕显示“可到达”时的缓冲作用的原因。这种情况的出现是因为当S-2(5300)不具有S的功能时,缓冲有效,所以这种缓冲自然地会引起错误识别。同时,S-1(2000)可以确定证实可达性的时间,以及用于T(4100)的D(1000)的缓冲TTL。通过将T(4100)的地址与历史信息相比较,S-1(2000)还可以确定已经发生改变的地址。因此,S-1(2000)还可以显示由S-2(5300)执行访问的最近的时间,这可以从证实可达性的时间中导出。或者,S-1(2000)可以显示缓冲TTL,并且再次请求S-2(5300)访问T(4100)。
在过滤的情况中:
通过S-1(2000)来执行过滤;过滤是用于将结果连接到常规管理的准备过程。将可达性证实的结果作为输入分配给常规管理。
举例:分配给T(4100)的业务量测量
方法:通过将结果分配给具有已证实可达性的主机,而将结果连接到通常的SNMP管理。
这就是所谓的过滤操作。过滤的概念是将在前程序的输出用作对随后程序的输入。这相当于导管(pipe)的UNIX概念。过滤的一个例子是一种程序,其重新排列某些输出并且将重新排列的结果连接到下一个处理。
下面给出第一种过滤的举例:在这里将本发明用作一个传感器。对管理目标的改变进行检测,同时将结果(被检测的变化)连接到常规的管理。
接下来的动作很显然是一段程序,该程序是例如使用MRTG或OpenView的普通的管理。在有效通信之前,无论何时证实到其它通信终端的可达性,过滤都是有效的。当通过机器自动地进行这种处理时(而不是通过人、S-2(5300)直接访问来执行处理),过滤是有效的。
当证实了T(4100)就是具有正确可达性的主机时,可以将结果连接到随后的处理。一个例子是使用MRTG或OpenView(当T(4100)具有永久分配的IP地址且不需要特别规定可达性证实时,对处理进行监控)的常规的监控处理。作为常规监控(=随后的处理)的一个例子,使用ucd-snmp-4.2.1和mrtg-2.9.17。MRTG是利用图解来显示网络业务状态以及随时间变化的信息(例如,CPU加载因子)的软件工具。MRTG包括SNMP管理器的功能(因此,在这里将其训练为SNMP管理器),但由于特别指明了要产生业务量历史文件(没有用户接口),所以通常独立地与SNMP管理器相结合地使用。常规的管理方法不在本发明的目的范围之内,因此在这里不作解释。但是下面将解释连接的问题。测试结果显示了MRTG不能跟随IP地址的变化,因此就不能对具有可变IP地址的主机执行通常的监控处理(甚至当使用FQDN来指定T(4100)时)。因此,可以通过增加一种处理而将结果连接到通常的监控处理,该增加的处理是:重新产生MRTG设置文件,其中在该点处将T(4100)的IP地址分配给由MRTG指定的T(4100)的名字。
例如,专利文献4提出了一种***,该***用于跟随下级监控目标的变化,但是没有解释用于检测目标已改变的方法。
因此,将用于专利文献4中公开的本发明的先前的处理(过滤)添加到本发明中,所以可以检测下级监控目标的变化。基于检测到的变化,重新产生下级监控目标列表,然后将该列表用作对专利文献4的输入。在这种情况下,基于列表状态静态标识符来单独地证实可达性,该列表状态静态标识符表示下级监控目标,并且重新产生表示具有正确可达性主机的列表;可以将该列表用作针对专利文献4的输入。自然地,通过程序来执行用于重新产生列表的处理。
通过这样做,对于***来说,跟踪可变的下级监控目标而不用手动输入是可能的。
同时,除了该IP地址之外,也可以将先前的IP地址作为程序之间的参数进行传递。本发明没有公开对先前IP地址的存储。然而,这种在实施过程中的微小变化不会影响本发明的实质,而且可以从本发明的公开内容中容易地推测出来。
非常明确地是,为了跟踪的目的,诸如用于保持示出了T(4100)的IP地址变化的历史信息这样的变化也属于本发明的范畴;同时,没有必要明确地规定起作用的消息。
顺便提及,当S-1(2000)执行过滤时,继承在处理过程中的可达性证实结果的对象可以是S-1(2000),或者可以是T(4100)的管理主人。单独地假定T(4100)的管理主人对具有可达性的管理***进行操作。参见在T(4100)的管理主人作为对象时的故障检测情形。在这种情况下,在被验证为在SNMPTRAP中具有正确可达性的点处,最好包括静态标识符和动态分配的网络地址,然后通知T(4100)的管理主人。随后的处理与当S-1(2000)作为对象时的情形相同。
顺便提及,当使用本发明作为过滤时,随后的处理并没有被限制到常规的管理。这种情形是第二种示范性过滤,并且是比第一种示范性过滤更多的类似于过滤的使用。下面给出了S-2(5300)(用户终端)执行过滤的一个举例。
例如,自由件“IP管理器”作为实时信息发送/接收软件在PC上进行操作,并且通过直接指定其它通信终端的IP地址来实现,该实时信息发送/接收软件不需要服务器(对等)。(因为该IP管理器不需要服务器,所以即使该IP管理器的使用与即时消息发送(RFC2778,RFC2779)类别的使用相类似,该IP管理器也不被包括在该即时消息发送类别中)。
通过作为在这种程序中的预备处理来实现本发明,IP管理器通过使用诸如主机名这样的静态标识符(代替使用诸如IP地址这样的动态分配的网络地址),可以变得能够指定其它的通信终端。
另外,本发明还可以以用于任意和所有程序的在先的处理进行操作,正像解析器按照用于任意和所有通信应用软件的在先的处理进行操作一样。
在这种情况下的主题可以是S-2(5300)和S-1(2000)。
(注意:IP管理器目前可以将主机名指定为目的地,但本发明公开的问题似乎没有得到解决。)
下面给出第三个过滤实例。
当S和D(1000)相结合时(图38中的模型2),确切地说是在D(1000)处实现S的功能时,可以执行某种具体的处理。已通知的AB对的关联性没有被通知。这种方法被用于:不使AB对的映射图像(针对T(4100))通知给映射通知***D(1000)。对于DNS服务器来说,检测针对T(4100)的资源记录(下文中,因为考虑了更新的格式,所以将在DNS处的资源记录的检测包括在更新中。)当在D(1000)处执行S的功能时,且当S中的结果不能被用于证实针对T(4100)的可达性时,其它的主机也不能到达T(4100)。在这种情况下,正如前面所解释的,S可以到达错误标识的主机T′(4200)。同时,通过不使AB对的映射图像(针对T(4100))通知给映射通知***D(1000),就不可能出现错误识别的情况。
这意味着D(1000)执行通常应当由T(4100)执行的离线处理。已经提出了这种建议,并且在专利文献1和2中进行了公开。
在专利文献1中,从T(4100)将所谓的保持电压(keep live)的信号发送到D(1000),以及当D(1000)不再接收信号时,就不会通知AB对。这个想法是从类似于信标或内心(heartbeat)的终端发送信号。专利文献5描述了类似的实例。
专利文献2是不使用DNS的唯一的***,但从D(1000)到S执行执行称为正常检查的处理。该正常检查实体以询问响应的格式对关键字进行加密,作为防止关键字截留的一种措施,该关键字在T(4100)针对D(1000)设置AB对时使用。当该询问从D(1000)发送到T(4100)时,从T(4100)将该响应返回到D(1000)。以某种时间间隔重复执行该处理,并且当该处理中断时,T(4100)被检测为中断了到网络的连接。
这里的问题是如何来检测T(4100)已中断了到网络的连接。本发明可以解决这个问题。
就通信方向(即从D(1000)到T(4100)执行的动作)来说,这里的建议类似于专利文献2中公开的内容。因此,可以否认引用专利文献2的建议的进步性。问题是B的替代物是否类似于关键字。
就这一点来说,可以认为本发明的基本原理完全不同于专利文献2中的原理。
首先,本发明的基本原理不是关键字。在通过本发明来执行可达性证实的情况下,由于网络特性的原因,首先仅仅是自动获取的值才是充分的。由于允许假冒,所以本发明的原理与由关键字表征的单个识别不同。原因是本发明允许在标题为“将要进行的答复类型”的部分中描述B的替代物。换句话说,这增加了结合到基本概念中的灵活性。因此,本发明自然地不同于专利文献2,专利文献2是以不知道的关键字(除非D(1000)和S相结合)为基础的。
下面的表格示出了在本发明和专利文献2之间的比较。
表05
  专利文献2   本发明
  名字   正常检查   可达性证实
  基础   关键字   网络特性(在通过将静态标识符与动态分配的网络地址相关联而获得可达性时,由网络特性自动确定的值)
  理论   通过知识进行验证:基于用户是否仅知道合格的用户知识进行验证   AB对实象和映射图像之间的比较
  加密   强制询问响应格式   任何方法都允许的非强制性*
  灵活性   没有允许的变量   由确认携带的值可以是B的替代物
  结构   复杂   简单
  安全问题   假冒   伪装
  安全问题扩展的影响   大   小
  用于确定影响扩展的标准   由于是以关键字为基础,所以在更新时使用的原文关键字出现假冒时,同样执行更新   自动收敛的假冒从更新中分离的假冒
正如由*符号所表示的,加密并不是强制性的。正如从基础或理论中所导出的,通常将要进行的答复不需要加密。
由于将要进行的答复不是一个关键字,所以可以由第三方获知该答复。作为替换,本发明的特征在于使用公布的字符串来执行可达性证实。
答复不是关键字这样的事实不会针对T(4100)带来任何安全性的威胁,因为更新和可达性证实在理论上和功能上完全是分离的,正如在标题为“独立可达性证实的影响”的部分中所解释的。
因此,甚至在B本身由其替代物取代、或通过本发明进行变换时,本发明的处理与专利文献2相比更加进步。
因此,与专利文献2不同,该专利文献2使用关键字作为基础、且将询问响应格式用作防止关键字截留的措施,本发明不必使用关键字,而是通过使用基于网络特性的更高级的理论(可达性证实)来简化***,并且检测T(4100)不再存在于网络上的情形。
独立可达性证实还提供了另外的效果。存在一个问题,即用于发送专利文献1所示的电压保持信号的T的等价物,或相应于专利文献2所示正常检查的T的等价物必须是专用于D的等价物的终端(并非通常的动态更新终端)。然而,本发明中的T(4100)不必是专用的终端,因为T(4100)的独立的。本发明的概念符合网络自治性,所以要优于专利文献1或2,专利文献1或2受到D的等价物和T的等价物之间固定关系的限制。
顺便提及,在S-1(2000)和S-2(5300)处可以删除资源记录。由于S可以检测针对T(4100)的已经丢失的可达性,所以S可以用作对D(1000)执行更新(删除)的一个触发器。在这种情况下,当T(4100)执行更新时,S-1(2000)和S-2(5300)必须知道关键字。这种方法不被推荐,因为很少有人知道关键字,而会给***带来更多的安全问题。
在这种情况下,当可达性证实的结果为错误时,可以执行图40中公开的外壳文稿程序。图40示出了使用BIND中的TSIG的一个例子。在这种情况下,存在两种方法:一种是删除表明B本身的项目(在上述示例性脚本程序中的$TARGETHOST;在这种情况下,B本身作为目的地);另一种是将B的地址改变为不具有可达性的地址,诸如0.0.0.0或者专用地址。在上述情形中使用前一种方法。
当使用诸如GNUDIP这样的程序包时,应当在其操作的主机处操作。在这种情况下,甚至当在不同的主机上操作D(1000)和GNUDIP时,也将它们假定为是一个整体。
可以取决于在接受更新的主机上运行的程序,来独立地执行更新方法。所述更新处理应当是这样一种方法,即能够与图37的“a”中定义的拨号功能相互合作。所述更新处理本身是现有技术。可以将可达性证实用于检测网络上不存在T(4100)的情形,该可达性证实用于触发在D(1000)处的删除更新。
当D(1000)对执行S功能的可达性进行证实时,不存在外部主机间的通信处理(2)和(3)。然而,在这种情况下,D(1000)仅需要在内部对其本身进行查询。因此,将要进行比较的AB对的实象和映射图像不充分这种情况不是真实的。
概要1针对只有动态DNS状态才存在的问题:“即使在T(4100)中断连接之后,D(1000)还继续发布最终更新的资源记录。如果T(4100)执行明确的离线处理,则D(1000)将不会继续发布有关丢失T(4100)的信息。然而,当T(4100)出现故障或者线路断开连接时,T(4100)就不能执行离线处理。”
下面将描述要解决的问题。
当下面两个条件同时出现时,会出现错误标识的主机T′(4200)。
-T(4100)中断与网络的连接。
-在D(1000)处,通知T(4100)的静态标识符和动态分配的网络地址的关联性。(为了更加准确,在上述两个条件同时出现、并且另一个主机同时对T(4100)执行拨号时,T′(4200)出现。然而,在这里不考虑拨号。)
为了解决这个问题,起初T(4100)对D(1000)执行离线处理,以便D(1000)不去通知T(4100)的静态标识符和动态分配的网络地址的关联性。
历史上,由于T(4100)的线路断开或其本身故障的原因,当T(4100)在不执行离线处理的情况下中断与网络的连接时,众所周知不存在影响。
因此,我们建议一种方法,即在T(4100)处不执行离线处理的情况下,可以不通知映射图像。该方法存在的问题在于:如何来检测T(4100)与网络断开连接这种情况。在专利文献1中,通过从终端将电压保持信号发送到DNS来通知终端有效这一事实。在专利文献2中,使用DNS来执行从DNS的等价物到T的等价物的正常检查,以便检测T的等价物没有连接的状态。
然而,因为D(1000)不能检测T(4100)已经断开与网络连接这种情形(除非T(4100)是专用于D(1000)的终端),所以该方法还存在一个问题。D(1000)基于被称为单独识别的、仅在D(1000)和T(4100)之间建立的方法来标识T(4100),所以T(4100)必须是专用于D(1000)的终端。
然而,本发明通过使T(4100)不必是专用于D(1000)的终端来解决这个问题。
概要1中针对只有动态DNS才有的问题而提出的问题实际上是一种事件合理型(event-wise)问题。这是很明显的一个问题,专利文献1和2中的方法可以通过校正由于差错而引起的针对D(1000)的通知来解决该问题。然而,所述问题是有原因的一个事件,该事件(根据我们的理解)是实象和映射图像之间的一种不一致。通常,不存在针对S的观点。这种S观点使得S证实针对T(4100)的可达性是可能的。在这种情况下,S分别从T(4100)和D(1000)获取作为网络配置需求的4个要素,而且不单独取决于T和D之间的直接关系,同时,S通过验证这些元素对应的正确性,即通过验证实象和映射图像之间的一致性来验证可达性的正确性。
专利文献1和2中没有示出D(1000)针对T(4100)单独执行识别的概念点。就这点来说,S是可以证实可达性的通信节点,意思是各个通信节点。因此,本发明没有必要使T(4100)成为专用于D(1000)的终端。
当然,当T(4100)不在网络上时,可达性证实还可以进行检测,其中专利文献1和2的目标也在于检测。因此,D(1000)自然地可以证实可达性。只要可达性证实具有上面提到的优点,就不能否认本发明与专利文献1和2相比较具有更多的进步。本发明的特征在于这样一个事实,即在通信期间,源站和目的地可以基于端到端来证实可达性。这是本发明的理论基础和实现可达性证实的具体实现方式。这里,我们给出了一种新的发现,即可以通过比较网络上的实象和映射图像来证实主机的可达性,其中通过将静态标识符与动态分配的网络地址相关联来获得主机可达性。
在这种情况下,通过建议一种称为确认的新的载波信号,就可能在所述四个元素中获得一个按照常规方式不能获得的元素(在实象中的B)。
进一步应用
在将作为源站的T(4100)连接到Web服务器时,通过在Web服务器一侧上证实可达性可以进行封闭连接(closed connection)(封闭的用户组服务)。例如,当希望发布目标在于具体组的支付信息时,这种封闭连接是有效的。
下面给出了示范性的过程。
步骤1:Web服务器一侧首先预先将T(4100)登记为具体组的一个成员。将已登记的T(4100)组称为数据库。
步骤2:当从T(4100)接收访问时,对可达性进行证实。这里假定T(4100)将其主机名(即B本身)作为将要进行的答复而返回。
步骤3:Web服务器一侧搜索与从数据库获得的所述主机名相匹配的组。
步骤4:允许被匹配的组访问源站T(4100)。
步骤5:拒绝从T(4100)接入的连接,该T(4100)不与任何组或终端匹配,该任何组通过可达性证实被确定为错误,在该终端中不能执行T(4100)的功能。
因此,可以进行封闭连接。
该实例示出了一种情形,即反向来看通常当作目的地的T(4100)。即,将要进行的答复用作源站编号的通知。
在这种情况下,与线路变换不同,输入侧不能自动地接收源站编号,所以将可达性证实用于接收源站编号。确认(countersign)是一种载波信号,其携带有源站编号(即,将要进行的答复)。应当注意,例如,这里的源站编号是不同于IP头中的源站地址的概念。IP头中的源站地址是作为动态分配的网络地址的“Ab”,而不是“B”,B是静态标识符。因此,需要可达性证实来提供代替源站编号通知的功能,该源站编号通知是在线路变换中定义的。
应当确信,尽管上面的描述覆盖了Web服务器,但在可达性证实之后可以执行封闭连接的处理并没有被限制到Web服务器。同样,步骤2描述了主机名,但B的替代物自然也是可以的。
T的功能和S的功能也可以在T和S之间相互地执行(参见实施例10)。因此,可以生产比所述封闭连接更加封闭的电路。
在线路变换处,输入侧可以选择性地允许或拒绝从源站的输入,以响应源站编号通知。类似地,通过应用本发明,S也可以使用来自T(4100)的将要进行的答复来允许或拒绝来自T(4100)的输入。如上所述,应当注意,T(4100)和S的观察是相反的。对于这种变为替代访问控制的应用是可能的。假定可以容易地从到目前为止的说明中推测出所述方法,因为该方法只是封闭连接的一种反向。
(讨论)
对缓冲和业务量的讨论
在这部分中,仅有DNS作为映射通知***来使用。
为了避免由于缓冲影响而带来的错误识别,唯一的选择是使缓冲不适用。
缓冲机构仅仅是一种用于减少DNS业务量的设备。因此,当缓冲不适用时,可以增加业务量。
针对上面说明的用于进行折衷一致性的方法,再次对两种方法进行解释。这里的业务量仅指DNS业务量。因此,缓冲机构的目标仅在于减少DNS业务量。DNS业务量的减少只是对通信命令(social demand)的响应,并没有不适当地增加DNS的负载。在T和S之间的业务量取决于T和S之间的通信频率。
合理应用的解决方案
在通信模型序列的末端写有下列内容:
“例如,下列内容是可能的:在可达性已被证实之后的可达性证实(第二和随后的)处,存储T(4100)(在(4)中执行标记的目的地)的地址;通常忽略步骤(2)和(3);在S变为不能到达T(不再进行可达性证实)之后,再次执行步骤(2)和(3)。”
进一步对其进行解释。
S存储具有已证实可达性的、目的地T(4100)的动态分配的网络地址,来代替执行名字解析或者代替验证实施例1所示的地址,然后将标记发送到表明T(4100)的本地存储的地址。在S处进行地址验证的过程中,可以作为新的专用存储区域来定位在本地存储地址的区域,或者可以在S上布置一个缓冲器。
上述方法(对新的专用存储区域进行定位)是利用应用程序的一种解决方案。在这种情况下,可以在T(4100)作为将要进行的响应来返回未知响应的点处,再次执行实施例1中所示的地址验证。在实施例1中所示的第二S216处,S立即返回到地址验证处理,而不再等待确定的一个时间周期。在这种情况下,可以使用一个标记来执行表明可达性证实是否成功的一个功能。
下面将利用图23(未举例说明的解释)来解释合理的实施方式。
在S214之后设置标记。如果预先设置该标记,则保持这种设置。并且存储T(4100)的地址而后结束。
当接下来进行可达性证实时,在S202之前确定标记是否被设置,以便执行一个转移指令。如果已经设置了标记,则将所述已存储地址分配给表明T(4100)的地址(在S204处的地址),并且执行在S206处开始的处理。如果没有设置该标记,则照常执行在S202开始的处理。
接下来,考虑可达性证实失败的一种情形。如果在S216之后设置标记,则避开(turn off)该标记。如果预先避开了该标记,则保持避开状态。如果预先存储了T的地址,则也要将其删除,同时S立即返回到S202并且再次执行处理(代替等待下一个可达性证实定时的出现)。然而,在S216是第二个或以后的客户这种情况中,可以通过使用临时标志来避开无限循环。
在这种情况下,当可达性证实的结果正确时(S214),开启该标志,反之也允许。换句话说,也可以在可达性证实结果错误(S206)时设置该标记。在这种情况下,自然地,可以在S202之前反转(reverse)转移指令。
利用后一种方法(在S上布置缓冲器),在缓冲TTL逝去之后再次执行名字查询。当然,甚至在这种情况下,当T(4100)返回一个作为将要进行的答复的未知响应时,S应当再次执行启动地址验证的处理;由于忽略了地址验证,所以S不会立即确定没有到达T(4100)。
这两种方法都可以减少主机间有关名字解析的通信频率,并且具有由于缓冲的原因而不会引起错误识别的效果。然而,因为名字解析频率较低的原因,所以我们建议使用第一种方法,名字解析的频率较低是因为直到不再到达T(4100)时才执行名字解析。同样,当S是诸如网络连接设备这样的具有相对少量资源的设备时,可能会加重改变缓冲负载的负担;就这方面来讲,合理应用的解决方案是最好的。
该合理应用的解决方案允许S-1(2000)和S-2(5300)作为S。该解决方案类似于在实际应用中示出的第三个过滤实例(其中D(1000)是S)。当D(1000)是S时,就要在内部完成名字查询而不能忽略;这实际上与主机间的通信被忽略的情形相同。通过存储正确到达S-1(2000)和S-2(5300)的T(4100)的地址来执行内部名字解析,与D(1000)不同,S-1(2000)和S-2(5300)不能执行内部名字解析。
因此,执行地址验证,同时减少了DNS参考计数和业务量。
客户—服务器模型
对于客户—服务器模型来说,S-2(5300)可以是不能实现S功能的未指定的大多数。采用客户—服务器模型的原因是:该模型使得对于现有通信节点(其中不执行S功能)提供可达性证实服务成为可能。然而,采用客户—服务器模型的另一个原因是合并效果(consolidation effect)。
为了容易理解,使用附图来解释该合并效果。
图41(a)示出了采用对等模型的情形。S-1(2000)和S-2(5300)相同,因此,图中的S-2(5300)可以由S-1(2000)来替换。
图41(b)示出了采用客户—服务器模型的情形。
当使用对等模型(图41(a))且各个终端都为S-2(5300)时,尽管端到端模型(对等模型)可以证实可达性,但很明显需要客户—服务器模型,这里解释了提议客户—服务器模型的原因。
通常,针对小型通信才考虑对等模型,而针对大型通信考虑客户—服务器模型。
客户—服务器模型不仅有助于减少名字查询的业务量,而且还有助于确定缓冲阻塞与所增加业务量一致性之间的关系。
概念讨论
在处理本发明的过程中,发明人就验证的问题考虑了主机和人之间的不同。
在网络上,人存在于主机的另一侧。换句话说,主机和人员阶层不同。尽管很明显,但由于某种原因,该发明人不能清楚地看到区分主机和人的边界。
使用密码来执行由人进行的验证。可以使用X509证明或Ipsec验证首部对主机进行验证。针对网络上的机器(通信节点)的可达性证实是标记—确认。从这个意义上讲,人/主机的验证和主机可达性证实是平行的概念。由于针对机器(通信节点)的可达性证实不是一种具体验证(例如,这不是接入权的验证),所以与验证相比,针对机器的可达性证实是一种不精确的概念;其还是一种针对该主机是其它正确的通信终端的校验处理。
本发明建议了一种使用网络特性来验证网络上的其它通信终端的方法,而不是一种称为单独识别(诸如传统的终端验证)的概念。
[将来的问题]
问题1
当下面的条件同时出现在S-1(2000)或S-2(5300)上时,本发明不具有时间方式(time wise)的好处。
条件1:网络上不存在T(4100)。
条件2:在D(1000)处,将AB对的映射图像通知给T(4100)。(在这种情况下,只要T(4100)不存在,就在A中存在差错。此外,在D(1000)执行S的功能并且不会删除表明T(4100)的映射图像。)
条件3:网络上不存在T′(4200)。(即不会出现错误标识。)
当上述条件同时出现时,与从S到T(4100)的常规通信一样,由于只等待将要出现的超时,所以不存在用于证实可达性的时间方式的好处。
问题2
针对包括上述处理的各种处理对接口进行标准化。
在该公开内容中,独立地执行在各个组成元件(尤其是S)上的并发处理。并发处理是现有技术。仅使用本发明的公开内容,必须独立地来创建本发明和现有技术之间的联系。
因此,可以通过定义在各个处理中的通信对可达性证实进行模块化处理。即,必须标准化内部程序接口。当接口被标准化时,可能通过定义来进一步推理,例如,在S上运行的程序作为管理器、以及在作为代理的T(4100)上运行的程序。
通过对接口的标准化来代替单独地创建所述连接点,
“可以以针对任一和所有程序的在先处理对本发明进行操作,正像解析器以针对任一和所有通信应用软件的在先处理进行操作一样。”
问题3
应当对通过确认使用的通信端口进行标准化。
(术语)
下面将解释在本发明中未解释的重要术语。
加密:
根据某种规则来变换原始字符串。被转换的字符串需要进行解码。加密的目的不在于此。也就是说,加密的目的一直都不是防止泄密。例如,当对通信路径本身或磁盘本身加密时,可能意味着仅一小部分加密信息需要进行加密,而大多数加密信息不需要被加密。或者,被加密的信息可能仅包含不需要进行加密的信息。在这种情况下,对不需要进行加密的信息进行加密的目的不在于防止泄密。是否需要对信息进行加密是由信息的自然特性决定的。在本发明中,甚至当假定了将要由T进行的答复是B的转换时,加密(变换)的目的不可能在于防止泄密,因为B本身并不是需要进行加密的信息。正如上下文中所提到的,将加密(变换)设计为结合到基本的概念中,以增加灵活性。
验证:
验证是一种用于证实用户是合法用尸(主人)的处理。例如,证实用于登录***的权利的处理,或者获取用于访问文件***的权利的处理。
密码:
密码是不同于加密的一个概念。它并不是基于任何规则,也不需要解码。其仅是加密字符串,并且用于执行验证。
根据被加密的密码和原文密码彼此相区别这样的事实,密码是不同于加密的一个概念的事实是显而易见的。密码属于基于确认的所谓的验证;即,通过使用用户知晓针对用户ID的密码这样的事实,将用户确定为合法用产。换句话说,密码的目的是能够正确地识别主人。通常利用单独的标识符来使用密码,以执行单独的识别。验证和密码的概念都是基于单独识别而创建的。
顺便提及,这里的密码包括:在询问响应格式中被加密的密码和诸如S/KEY这样的一次性密码。
为了方便的目的,甚至对于DNS来说,因为TSIG共享了T(4100)和D(1000)的专用密钥,所以用于执行更新的密码还包括TSIG(RFC2845),利用与基于证实的验证相同的方式来处理TSIG是正确的。
主机:
主机是分配有地址的任何一种通信终端,包括终端和路由器。因此,在本发明中主机包括计算机和网关。
网关:
在某些理论中,网关仅指应用网关,但在该说明书中,配置有IP方式网络边界的元件(诸如路由器、应用网关、协议转换器)都被称为网关。
客户:
客户是指T(4100)的主人。客户网络是由T(4100)的主人管理的网络;其不是公共网络。
解析器:
解析器具有用于执行针对DNS的名字查询的功能。从DNS可以看到,解析器是执行名字查询的实体。
在本发明中频繁使用的除了技术之外的重要概念都进行了定义。
代替:
代替是指利用一种事物*代替另一种事物。
设置:
设置是指在认为是一个整体*(single whole)的确定范围中的事件。
在本发明中,认为确定范围能够替换一项具体功能。设置包括通过组合独立功能形成的高级功能。
代表:
代表是表示从组织中选择的一个人,用于与其它人进行协商以反映其观点*
代表是表示某种事件,该事件可以通过从整个事件*中除去某些事件来进行总特征的概览。
典型:
典型是指在具体设置中的某个事件,该具体设置是最典型的或者是显著的。
因此,上面描述的内容没有必要准确地反映设置的特性。
整合:
整合是指集成到单个具体设备中的多项功能。
相关:
通常,静态标识符和动态分配的网络地址应当一一相关联,该动态分配的网络地址通过映射通知***而相关联。然而,这里的关联还包括除了一一关联之外的关联和中间标识符的关联。
*:从Shin-Meikai日本辞典中引用。
其它的术语根据公知常识或者根据本领域普通技术人员的技术常识来解释。
(标记的解释)
符号      名字
1000      D映射通知***。DNS是典型的例子,但映射通知系
        统不仅仅是指DNS;还可以包括专利文献2。当使用术
        语DNS时,存在两种情况:一种是仅指DNS,而另一种
        不是DNS,但其通知AB对的映射图像。
2000    S-1源站管理服务器。与S-2(5300)一起抽象出S的
        概念,即源站。这里的源站是指试图证实针对T的可达性的正确
        性的实体。
4000    P与管理目标设备连接的提供商。或者具有配置从用
        户网络来看的上游网络(其中存在DNS服务器)功能
        的网络,其中动态地将地址分配给与上游网络相连的
        网络边界节点。可以存在DHCP服务器和包括该服务器
        的网络以及管理目标设备。
4100    T立即从网络连接或断开(包括由于移动性或可携带
        性而引起的连接或断开)的拨号主机。其是目的地并
        且是管理目标设备。
4200    T′提供商P的另一个用户。由提供商P(不是管理目
        标设备)分配了地址的用户(或主机)。由于可能将提
        前分配给管理目标设备的地址分配给主机的可能性,
        所以可能将主机错误的标识为管理目标设备。
4500    P-D提供商P的DNS服务器。
5000    P-2除了提供商P以外的提供商。除了管理目标设备
        相连的提供商以外的提供商。换句话说,与一般的因
        特网用户(5300)相连的提供商。仅当提供商P与因
        特网相连或与其它网络断开连接时,这个概念才有效。
5300    S-2(5300)源站或一般的用户。因特网的一般用户
        (5300)。从管理服务器、DNS管理器、管理目标设备
        的操作员、或管理目标设备的直接用户(不包括读者)
        (管理目标设备的读者是一般用户)来看的第三方。
        仅当动态地将地址分配给管理目标设备(或者用户网
        络和提供商P的网络之间的边界)的提供商P与因特
        网相连、以及提供商P-2与因特网相连、或提供商P
          与提供商P-2断开时,才在提供商P-2(从管理目标设
          备观察的)上建立一般用户的概念(5300)。即,提供
          商P-2只需是经由路由选择可达到的另一个网络(从
          提供商P观察的)。应当注意,试图启动与管理目标设
          备的通信。
5500      P-2-D提供商P-2的DNS服务器。

Claims (51)

1.一种通信模型,特征在于:通过比较一对由静态标识符和动态分配的网络地址组成的映射图像和一对在可到达侧证实通信节点(4100)中由静态标识符和动态分配的网络地址组成的实像,来确定针对可到达侧证实通信节点(4100)的可达性是否正确,所述映射图像在映射通知***(1000)中表明了可到达侧证实通信节点(4100),在存储转发网络中,通过将静态标识符和动态分配的网络地址相关联来获得主机的可达性。
2.根据上述权利要求1所述的通信模型,以下面的顺序来执行一段程序,其中所有被比较的元素对于可达性证实通信节点(2000)都是公知的:
(1)可达性证实通信节点(2000)使用作为密钥的可到达侧证实通信节点(4100)的静态标识符,针对映射通知***来执行名字查询;
(2)为了响应所述名字查询,映射通知***(1000)执行名字解析,返回可到达侧证实通信节点(4100)的动态分配的网络地址;
(3)可达性证实通信节点(2000)将一个标记发送到动态分配的网络地址,仅用来请求可到达侧证实通信节点(4100)将一个响应返回到可达性证实通信节点(2000);
(4)可到达侧证实通信节点(4100)发送一个确认到可达性证实通信节点(2000),即其发送一个新的携带有将要进行的答复的载波信号。
3.根据上述权利要求1所述的通信模型,信号的特征在于:可到达侧证实通信节点(4100)发送一个使可达性证实通信节点(2000)证实可达性的信息。
4.根据上述权利要求3所述的通信模型,信号的特征在于:使可达性证实源通信节点(2000)证实可达性的信息是将要由可到达侧证实通信节点(4100)进行的答复信息。
5.根据上述权利要求3所述的通信模型,特征在于:可到达侧证实通信节点(4100)发送一个使可达性证实通信节点(2000)证实可达性的信息,以及针对由可到达侧证实通信节点(4100)进行的答复信息的额外信息。
6.在可到达侧证实通信节点(4100)中,载波信号具有用于携带将要进行的答复的功能,以响应来自可达性证实通信节点(2000)的响应请求。
7.在根据上述权利要求6的信号中,所述载波信号还具有用于携带除了将要进行的答复之外的额外信息的功能。
8.在通过将静态标识符和动态分配的网络地址相关联来获得主机可达性的存储转发网络中,一种可达性证实方法,该方法存储了针对可达性证实通信节点(2000)的任意信息,作为用于证实针对可到达侧证实通信节点(4100)的可达性的信息,并且通过执行预定通信的可达性证实通信节点(2000)和可到达侧证实通信节点(4100),对所存储的信息与可到达侧证实通信节点(4100)针对可达性证实通信节点(2000)答复的比较,使得可达性证实通信节点(2000)确认针对可到达侧证实通信节点(4100)的可达性。
9.根据上述权利要求8的可达性证实方法,特征在于:所述任意信息是可到达侧证实通信节点(4100)中的静态标识符。
10.根据上述权利要求8的可达性证实方法,特征在于:当可达性证实通信节点(2000)知道与可到达侧证实通信节点(4100)的相关性时,所述任意信息是取代静态标识符的各个字符串。
11.根据上述权利要求8的可达性证实方法,特征在于:当可达性证实通信节点(2000)知道与可到达侧证实通信节点(4100)的相关性时,所述任意信息是适合于静态标识符的一种变换规则。
12.根据上述权利要求8的可达性证实方法,特征在于:在可到达侧证实通信节点(4100)的储存设备中的任意信息作为将要进行的答复来保存,从所述存储设备中读出所保存的信息,以便以先前同意的方法进行通信,并且通过返回包括至少所述信息的一个确认,使得可达性证实通信节点(2000)确认可到达侧证实通信节点(4100)就是可到达侧的可达性证实通信节点(4100)。
13.根据上述权利要求8的可达性证实方法,特征在于:从用于管理可到达侧证实通信节点(4100)的静态标识符的多个映射通知***(1000)中选择一个映射通知***(1000),以执行前向名字查询,并且通过变换不同于将要参考的各个可到达侧证实通信节点(4100)的映射通知***(1000),来获取可到达侧证实通信节点(4100)的动态分配的网络地址,并且使用所获取的动态分配的网络地址,以便与权利要求8中的可到达侧证实通信节点(4100)进行通信。
14.根据上述权利要求8到13中任意一个的可达性证实方法,特征在于:当针对可到达侧证实通信节点(4100)的可达性证实失败时,在预定时间间隔过去之后再次执行根据权利要求8到13中任意一个的可达性证实方法,以便证实针对可到达侧证实通信节点(4100)的可达性是否正确。
15.根据上述权利要求8到14中任意一个的可达性证实方法,将可达性证实通信节点(2000)替换为不具有可达性证实功能的终端。
16.根据上述权利要求8到14中任意一个的可达性证实方法,特征在于:充分地形成针对预定目标人群或公众的可达性证实结果的通知。
17.根据上述权利要求8到16中任意一个的可达性证实方法,特征在于:可达性证实通信节点(2000)通过不具有可达性证实功能的终端来接收用于可到达侧证实通信节点(4100)可达性证实请求,然后可达性证实通信节点(2000)证实针对可到达侧证实通信节点(4100)的可达性是否正确,而后可达性证实通信节点(2000)将证实结果通知给不具有可达性证实功能的终端。
18.根据上述权利要求17所述的可达性证实方法,特征在于:当返回针对不具有可达性证实功能的终端的可达性证实结果时,考虑所述不具有可达性证实功能的终端由缓冲影响的时间,将用于正常接入的时间包括在所述响应中。
19.继续进行使用SNMP管理器的可达性证实方法,一种用于执行针对权利要求8到14中任意一个的可到达侧证实通信节点(4100)的可达性证实的可达性证实方法,以及如果这里证实了可到达侧证实通信节点(4100)的可达性,则将可达性已被证实的可到达侧证实通信节点(4100)的动态分配的网络地址移交给使用SNMP管理器的可达性证实方法,以便管理其地址动态改变的可到达侧证实通信节点(4100)。
20.在根据上述权利要求8到14中任意一个的可达性证实方法中,一种重新配置映射通知***的方法,该方法使得当可达性证实对可到达侧证实通信节点(4100)不存在于网络的情形进行检测时,不去通知静态标识符和与被通知的可到达侧证实通信节点(4100)相关的动态分配的网络地址之间的相关性。
21.在根据上述权利要求20的可达性证实方法中,在可达性证实检测所述可到达侧证实通信节点(4100)不存在于网络上的情形时,一种删除源记录的方法,该源记录与DNS服务器上的可到达侧证实通信节点(4100)相关,该DNS服务器用于管理可到达侧证实通信节点(4100)所属的域名。
22.一种使用根据上述权利要求8到14中任意一个的可达性证实方法来通知在存储转发网络中的源站号码的方法。
23.一种使用根据上述权利要求22的方法来执行封闭连接的方法。
24.一种在根据上述权利要求8到14中任意一个的可达性证实方法中的方法,该方法用于通过可达性证实通信节点(2000)来忽略在DNS上的名字解析处理,同时减少了DNS轨迹,该可达性证实通信节点(2000)用于存储已针对与可到达侧证实通信节点(4100)相关的可达性进行了证实的地址。
25.在根据权利要求8到14中任意一个的可达性证实方法中,所有的程序都将可达性证实的结果用作随后的处理输入。
26.一种用于在计算机或网络连接设备上执行根据权利要求8到24中任意一个的可达性证实方法的程序。
27.一种计算机或网络连接设备、以及通信节点,其特征在于:针对在所述设备上的各个可到达侧证实通信节点(4100)来设置至少一个标记,并且在应当进行的答复不只是表明可到达侧证实通信节点(4100)的静态标识符时,设置所述应当进行的答复,其特征还在于:用于将标记从所述设备发送到可到达侧证实通信节点(4100)的装置,用于从可到达侧证实通信节点(4100)接收被响应的确认的装置,以及用于比较要由所接收的确认发送的答复和所包括的应当进行的设置答复的装置,其特征还在于:根据比较结果的正确与否来证实针对可到达侧证实通信节点(4100)的可达性是否正确。
28.根据权利要求27所述的通信节点,其特征在于:为各个可到达侧证实通信节点(4100)选择在多个现有映射通知***(1000)中的一个映射通知***(1000),以执行前向名字查询,所述多个映射通知***(1000)管理由可到达侧证实通信节点(4100)使用的静态标识符,以及通过获取可到达侧证实通信节点(4100)的动态分配的网络地址,将所获取的动态地址用于与可到达侧证实通信节点(4100)进行通信。
29.根据权利要求27到28其中之一的通信节点,其特征在于:在针对可到达侧证实通信节点(4100)的可达性证实失败时,预定的时间量已经过去之后,通过再次执行权利要求27所述的可达性证实,来证实是否已到达具有正确可达性的可到达侧证实通信节点(4100)。
30.根据权利要求27到29其中之一的通信节点,其特征在于:在请求由一般用户使用的通信节点时执行可达性证实。
31.在根据权利要求27到30其中之一的通信节点中,一种设备的特征在于:充分地形成针对预定目标人群或公众的可达性证实结果的通知。
32.根据权利要求27到31其中之一的通信节点,特征在于:从不具有可达性证实功能的终端来接收用于可到达侧证实通信节点(4100)可达性证实,证实针对可到达侧证实通信节点(4100)的可达性证实通信节点(2000)的可达性是否正确,并且将结果传给不具有可达性证实功能的终端。
33.根据上述权利要求32所述的通信节点,特征在于:当返回针对不具有可达性证实功能的终端的可达性证实结果时,考虑所述不具有可达性证实功能的终端由缓冲影响的时间,将用于正常接入的时间包括在所述响应中。
34.一种通信节点,特征在于:对动态分配的网络地址发生变化的可到达侧证实通信节点(4100)进行管理,以便在权利要求27到31中任何一个的可达性证实方法之后连接到使用SNMP管理器的可达性证实方法,所述动态分配的网络地址是在可到达侧证实通信节点(4100)的动态分配的网络地址被移交给使用SNMP管理器的可达性证实方法时发生的变化,所述可到达侧证实通信节点(4100)的可达性已在权利要求27到31中任何一个的可达性证实方法中进行了证实。
35.在根据权利要求27到29任何一个的通信节点中,一种映射通知***(1000),用于当可达性证实对可到达侧证实通信节点(4100)不存在于网络上的情形进行检测时,不去通知由一对静态标识符和动态分配的网络地址组成的映射图像,所述动态分配的网络地址表明了在映射通知***(1000)中的可到达侧证实通信节点(4100)。
36.在根据权利要求35所述的映射通知***(1000)中,一种DNS服务器,其用于在可达性证实检测所述可到达侧证实通信节点(4100)不存在时,在用于管理属于可到达侧证实通信节点(4100)的域名的DNS服务器中,删除与可到达侧证实通信节点(4100)相关的源记录。
37.根据权利要求27到29任何一个的通信节点,用于在存储转发网络中接收由确认携带的源号码通知。
38.根据权利要求37所述的通信节点,用于仅将预定的服务提供给用于通知一个预置源号码的通信节点。
39.在根据权利要求27到29任何一个的通信节点中,可达性证实通信节点,通过存储由可达性证实确认的地址来忽略针对DNS的名字解析处理,所述可达性证实与可到达侧证实通信节点(4100)相关联。
40.在根据权利要求27到39任何一个的通信节点中,在由共享通信节点功能组成的中心侧上的***在多个设备上工作。
41.在根据权利要求27到39任何一个的通信节点中,一种用于使计算机或网络连接设备执行的程序。
42.一种要么是计算机要么是网络连接设备的通信节点,其是动态地接收地址分配的通信节点,或者是与来自外部网络的通信节点相结合参考通信节点,其中将所述通信节点配置为:在通信节点存储设备上保存任何信息作为将要进行的答复,从所述存储设备中读取已保存的信息以便使用标记或者提前同意的方法进行通信,并且返回一个确认,以便使用包括至少所述信息或提前同意的方法的确认进行通信。
43.根据权利要求42所述的通信节点,其特征在于:通过所有字符串将在所述通信节点中保存的将要进行的答复设置为一个条件,该条件被提前通知给可达性证实通信节点(2000),并且将所述通信节点配置为将所述字符串保存到所述通信节点的存储设备中,当接收到针对预定端口的通信请求时,从所述存储设备读取已保存的字符串,并且返回至少所述字符串。
44.根据权利要求42所述的通信节点,其特征在于:利用主机名对所述通信节点进行设置,并且将所述通信节点配置为将主机名保存到通信节点上的存储设备中,当接收到针对预定端口的通信请求时,从所述存储设备读取已保存的主机名,并且返回包括至少一个主机名的字符串。
45.根据权利要求42所述的通信节点,其特征在于:在中心侧的映射通知***(1000)中设置的、由动态DNS动态更新的主机名通过FQDN来保持,并且作为可以读出到通信节点的字符串进行设置,同时将所述通信节点配置为将字符串保存到通信节点上的存储设备中,当接收到针对预定端口的通信请求时,从所述存储设备读取已保存的字符串,并且返回包括至少一个字符串的字符串。
46.根据权利要求42到45任何一个的通信节点,将该通信节点配置为具有下面的端口:用于设置通信节点变化的端口,用于为一般的浏览提供Web服务的熟知的任何端口,或者是这些端口中的任何一个并且正在等待的预定端口,而不是根据权利要求42到45任何一个的预定等待端口。
47.根据权利要求42到46任何一个的通信节点,将该通信节点配置为:可到达侧证实通信节点(4100)返回一个确认,以便使用一个确认或预先同意的方法进行通信;使用来自可达性证实通信节点(2000)的标记或预先同意的方法进行通信;在可达性证实通信节点(2000)中判断针对可到达侧证实通信节点(4100)的可达性。
48.根据权利要求42到47任何一个的通信节点,用于将携带有将要进行的答复的载波信号发送到标记。
49.根据权利要求49所述的通信节点,用于将携带有作为将要进行的答复的自识别信息的载波信号发送到标记。
50.根据权利要求49所述的通信节点,用于通过发送作为响应的一个标记,将所述载波信号转换为一个源号码通知。
51.用于使计算机或网络连接设备实现为根据权利要求42到50任何一个的通信节点的功能的程序。
CN200380109971XA 2002-12-24 2003-12-24 用于证实可达性的通信***和通信节点 Expired - Fee Related CN1754351B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP371448/2002 2002-12-24
JP2002371448A JP3577067B2 (ja) 2002-12-24 2002-12-24 動的ipアドレス割当てを受けた機器を管理する方法およびシステム
PCT/JP2003/016538 WO2004059925A1 (ja) 2002-12-24 2003-12-24 静的な識別子と動的な住所が関連付けられることによってホスト到達性が得られる網にあって、到達性を確認するための通信モデル、信号、方法および装置

Publications (2)

Publication Number Publication Date
CN1754351A true CN1754351A (zh) 2006-03-29
CN1754351B CN1754351B (zh) 2010-04-28

Family

ID=32677197

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200380109971XA Expired - Fee Related CN1754351B (zh) 2002-12-24 2003-12-24 用于证实可达性的通信***和通信节点

Country Status (7)

Country Link
US (1) US7831697B2 (zh)
EP (1) EP1578068A4 (zh)
JP (2) JP3577067B2 (zh)
KR (2) KR20080040784A (zh)
CN (1) CN1754351B (zh)
AU (1) AU2003296079A1 (zh)
WO (1) WO2004059925A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102067568A (zh) * 2008-06-02 2011-05-18 萨热姆通讯简易股份有限公司 在电力线通信网络中分配mac地址的方法和设备
CN101595686B (zh) * 2007-01-24 2012-03-14 思科技术公司 触发中间设备处的流分析

Families Citing this family (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7769826B2 (en) 2003-06-26 2010-08-03 Nominum, Inc. Systems and methods of providing DNS services using separate answer and referral caches
US7761570B1 (en) 2003-06-26 2010-07-20 Nominum, Inc. Extensible domain name service
FI20031339A0 (fi) * 2003-09-18 2003-09-18 Nokia Corp Menetelmä ja laite tiedon osoittamiseksi langattomassa verkossa
US20050251684A1 (en) * 2004-02-02 2005-11-10 Hitachi, Ltd. Storage control system and storage control method
JP2005303914A (ja) * 2004-04-15 2005-10-27 Murata Mach Ltd 通信装置及びプログラム
US7865617B1 (en) * 2004-06-10 2011-01-04 Infoblox Inc. Maintaining consistency in a database
US20060010251A1 (en) * 2004-06-16 2006-01-12 Nokia Corporation Global community naming authority
JP4829111B2 (ja) * 2004-06-25 2011-12-07 一 福嶋 通信モデル、信号、方法および装置
JP4598462B2 (ja) * 2004-09-16 2010-12-15 富士通株式会社 L2−vpnサービスを提供するプロバイダ網、及びエッジルータ
US8261341B2 (en) * 2005-01-27 2012-09-04 Nokia Corporation UPnP VPN gateway configuration service
JP4285420B2 (ja) * 2005-02-22 2009-06-24 株式会社日立製作所 センサネット管理システム
JP4151661B2 (ja) * 2005-02-28 2008-09-17 村田機械株式会社 通信装置及びプログラム
JP2008541632A (ja) * 2005-05-18 2008-11-20 ナインティー9.コム ピーティーワイ リミテッド 動的アドレスマッピング
US7619989B2 (en) * 2005-08-26 2009-11-17 Alcatel Lucent Routing configuration validation apparatus and methods
CN1972473A (zh) * 2005-10-24 2007-05-30 福嶋一 通信节点、服务器和***
US20070110049A1 (en) * 2005-11-15 2007-05-17 Nominum, Inc. Data compression approach to telephone number management in domain name systems
US7843911B2 (en) * 2005-11-15 2010-11-30 Nominum, Inc. Data grouping approach to telephone number management in domain name systems
US20070110051A1 (en) * 2005-11-15 2007-05-17 Nominum, Inc. Numeric approach to telephone number management in domain name systems
KR100671484B1 (ko) 2006-04-05 2007-01-19 (주)동국일렉콘스 유동아이피 환경의 인터넷상에서 원격감시제어 시스템용네트워크 관리장비 또는 네트워크 관리모듈 및 이를 이용한통신방법
US8606926B2 (en) 2006-06-14 2013-12-10 Opendns, Inc. Recursive DNS nameserver
US8713188B2 (en) 2007-12-13 2014-04-29 Opendns, Inc. Per-request control of DNS behavior
US7694016B2 (en) * 2007-02-07 2010-04-06 Nominum, Inc. Composite DNS zones
US8321376B2 (en) * 2007-03-29 2012-11-27 Telefonaktiebolaget Lm Ericsson (Publ) Address resolving database
US8311042B2 (en) 2007-06-15 2012-11-13 Mformation System and method for automatic detection and reporting of the mapping between device identity and network address in wireless networks
WO2009102323A1 (en) * 2008-02-12 2009-08-20 Hewlett-Packard Development Company, L.P. Color detector
JP4734356B2 (ja) * 2008-02-22 2011-07-27 株式会社沖データ 印刷装置および印刷システム
US7860982B2 (en) * 2008-03-14 2010-12-28 Microsoft Corporation Internet connectivity verification
US8724486B2 (en) * 2008-05-02 2014-05-13 Pine Valley Investments, Inc. System and method for heartbeat signal generation
US9658891B2 (en) * 2009-03-13 2017-05-23 Micro Focus Software Inc. System and method for providing key-encrypted storage in a cloud computing environment
WO2010029759A1 (ja) * 2008-09-11 2010-03-18 パナソニック株式会社 情報処理端末装置及びネットワーク接続方法
US8676989B2 (en) 2009-04-23 2014-03-18 Opendns, Inc. Robust domain name resolution
US9501329B2 (en) * 2009-05-08 2016-11-22 Rackspace Us, Inc. Methods and systems for cloud computing management
US8762518B2 (en) * 2009-07-10 2014-06-24 Telcordia Technologies, Inc. Program and method for adaptively maintaining a local peer group in a dynamic environment
JP5531517B2 (ja) * 2009-09-04 2014-06-25 ヤマハ株式会社 通信装置および通信方法
US8296403B2 (en) * 2009-10-23 2012-10-23 Novell, Inc. Network address allocation using a user identity
US8356346B2 (en) 2010-01-30 2013-01-15 Fatpipe, Inc. VPN secure sessions with dynamic IP addresses
JP4802295B1 (ja) * 2010-08-31 2011-10-26 株式会社スプリングソフト ネットワークシステム及び仮想プライベート接続形成方法
JP5664662B2 (ja) * 2010-11-26 2015-02-04 富士通株式会社 管理システム、管理装置、管理方法および管理プログラム
US9231905B2 (en) * 2010-12-22 2016-01-05 Nec Corporation Communication device, method for setting communication device, and program
US9237142B2 (en) * 2011-01-07 2016-01-12 Interdigital Patent Holdings, Inc. Client and server group SSO with local openID
US9515986B2 (en) * 2011-05-05 2016-12-06 Telefonaktiebolaget Lm Ericsson (Publ) Methods providing public reachability and related systems and devices
JP5760736B2 (ja) 2011-06-22 2015-08-12 富士通株式会社 通信装置
JP5617108B2 (ja) * 2011-07-14 2014-11-05 岩▲崎▼ 哲夫 静的nat形成装置、リバースプロキシサーバ及び仮想接続制御装置
JP5644710B2 (ja) * 2011-07-26 2014-12-24 株式会社Pfu ノード検出装置、ノード検出方法、及びプログラム
JP2013012225A (ja) * 2012-08-30 2013-01-17 Hitachi Ltd 名称特定プログラム、構成管理サーバおよび情報処理システム
AU2013386210B2 (en) * 2013-04-09 2018-02-15 Robert Bosch Gmbh Method for network change tolerant service discovery in a computer network
US9380019B2 (en) * 2013-08-26 2016-06-28 Verisign, Inc. Command performance monitoring
CN104427009A (zh) * 2013-08-30 2015-03-18 鸿富锦精密工业(深圳)有限公司 主机动态ip地址管理***及方法
US20150073998A1 (en) * 2013-09-09 2015-03-12 Apple Inc. Use of a Biometric Image in Online Commerce
US9584367B2 (en) * 2013-11-05 2017-02-28 Solarwinds Worldwide, Llc Node de-duplication in a network monitoring system
US9851999B2 (en) 2015-07-30 2017-12-26 At&T Intellectual Property I, L.P. Methods, systems, and computer readable storage devices for handling virtualization of a physical telephone number mapping service
US10277736B2 (en) 2015-07-30 2019-04-30 At&T Intellectual Property I, L.P. Methods, systems, and computer readable storage devices for determining whether to handle a request for communication services by a physical telephone number mapping service or a virtual telephone number mapping service
US9866521B2 (en) 2015-07-30 2018-01-09 At&T Intellectual Property L.L.P. Methods, systems, and computer readable storage devices for determining whether to forward requests from a physical telephone number mapping service server to a virtual telephone number mapping service server
US9888127B2 (en) 2015-07-30 2018-02-06 At&T Intellectual Property I, L.P. Methods, systems, and computer readable storage devices for adjusting the use of virtual resources providing communication services based on load
EP3148239A1 (en) * 2015-09-23 2017-03-29 Technische Universität Dresden Method for managing available communication resource in a communication network via node-to-node resource-trading and node for a communication network
US10582002B2 (en) * 2016-12-09 2020-03-03 Arris Enterprises Llc Cache proxy for a network management information base
US20190081924A1 (en) * 2017-09-11 2019-03-14 Linkedin Corporation Discovering address mobility events using dynamic domain name services
JP7440747B2 (ja) * 2020-01-27 2024-02-29 富士通株式会社 情報処理装置、情報処理システムおよびネットワーク疎通確認方法
TWI738253B (zh) * 2020-03-18 2021-09-01 華南商業銀行股份有限公司 網域名稱系統服務之客戶端連線方法
CN114629881A (zh) * 2020-12-14 2022-06-14 中兴通讯股份有限公司 一种sip网元多地址学习方法及装置、信令监测***
CN113596159B (zh) * 2021-07-30 2023-10-13 北京南凯自动化***工程有限公司 基于k8s云容器平台的集群通信方法及装置
CN116016442A (zh) * 2022-12-29 2023-04-25 武汉绿色网络信息服务有限责任公司 ip地址资源管理方法、云网关、电子设备及存储介质

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02239743A (ja) * 1989-03-13 1990-09-21 Nec Corp データ伝送システム
JPH07200502A (ja) 1993-12-28 1995-08-04 Omron Corp トランザクション処理システムにおける二重化装置
JPH10336177A (ja) * 1997-06-02 1998-12-18 Nec Corp 通信ネットワークにおけるヘルスチェック方式
US5974453A (en) 1997-10-08 1999-10-26 Intel Corporation Method and apparatus for translating a static identifier including a telephone number into a dynamically assigned network address
JP3494562B2 (ja) * 1997-10-15 2004-02-09 株式会社東芝 ネットワーク管理システム
US8516055B2 (en) * 1998-05-29 2013-08-20 Research In Motion Limited System and method for pushing information from a host system to a mobile data communication device in a wireless data network
US6614774B1 (en) * 1998-12-04 2003-09-02 Lucent Technologies Inc. Method and system for providing wireless mobile server and peer-to-peer services with dynamic DNS update
US6621798B1 (en) * 1999-04-21 2003-09-16 Lucent Technologies Inc. Method to sequence changes for IP network configuration
AU5728500A (en) * 1999-06-11 2001-01-02 Microsoft Corporation Data driven remote device control model with general programming interface-to-network messaging adapter
US7069320B1 (en) * 1999-10-04 2006-06-27 International Business Machines Corporation Reconfiguring a network by utilizing a predetermined length quiescent state
KR20020013051A (ko) * 2000-08-10 2002-02-20 유길종 네트워크 시스템에서의 메일 주소 확인 방법
JP2002135301A (ja) * 2000-10-23 2002-05-10 Nippon Telegr & Teleph Corp <Ntt> Ipアドレス情報通知方法及びipアドレス情報通知装置並びにこのプログラムを格納した記憶媒体
JP2002281032A (ja) 2001-03-16 2002-09-27 Toshiba Corp 監視対象切替プログラム、方法及び監視システム
JP2002318737A (ja) * 2001-04-23 2002-10-31 Index:Kk 管理サーバ
US7359987B2 (en) * 2001-07-05 2008-04-15 Enom, Inc. Method and system for providing static addresses for Internet connected devices even if the underlying address is dynamic
US7613811B1 (en) * 2001-09-17 2009-11-03 Cisco Technology, Inc. Selecting a communications protocol
US20030103482A1 (en) * 2001-12-04 2003-06-05 Van Bosch James A. Method of enabling communication with a wireless communication device
US7260645B2 (en) * 2002-04-26 2007-08-21 Proficient Networks, Inc. Methods, apparatuses and systems facilitating determination of network path metrics

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101595686B (zh) * 2007-01-24 2012-03-14 思科技术公司 触发中间设备处的流分析
CN102067568A (zh) * 2008-06-02 2011-05-18 萨热姆通讯简易股份有限公司 在电力线通信网络中分配mac地址的方法和设备
CN102067568B (zh) * 2008-06-02 2014-02-12 萨热姆通讯能源电信简易股份有限公司 在电力线通信网络中分配mac地址的方法和设备

Also Published As

Publication number Publication date
JP2004266305A (ja) 2004-09-24
JPWO2004059925A1 (ja) 2006-05-11
EP1578068A1 (en) 2005-09-21
US20060101026A1 (en) 2006-05-11
JP4417850B2 (ja) 2010-02-17
KR20080040784A (ko) 2008-05-08
EP1578068A4 (en) 2006-09-13
US7831697B2 (en) 2010-11-09
AU2003296079A1 (en) 2004-07-22
KR100838911B1 (ko) 2008-06-16
CN1754351B (zh) 2010-04-28
KR20050084465A (ko) 2005-08-26
JP3577067B2 (ja) 2004-10-13
WO2004059925A1 (ja) 2004-07-15

Similar Documents

Publication Publication Date Title
CN1754351A (zh) 一种用于在网络中证实可达性的通信模型、信号、方法和设备 ,在该网络中,通过将静态标识符与动态分配的网络地址彼此相关联来获得主机可达性
CN1286039C (zh) 维护Internet域名数据的方法和装置
CN1231028C (zh) 在不同网络的匿名用户之间智能建立会话的分布式***
CN1525709A (zh) 名称解析服务器和分组传送设备
CN1206837C (zh) 按规定的策略在多服务器实施ip数据报发送的方法和***
CN1163029C (zh) 数据网络用户进行数据交换的方法及其网络***
CN1666205A (zh) 在线接收的个人标识的验证
CN1201533C (zh) 因特网电话网络***、网络访问方法及通话装置适配器
CN100346610C (zh) 基于安全策略的网络安全管理***和方法
CN1507725A (zh) 因特网通信***、因特网通信方法、对话管理服务器、通信适配器、通信中继服务器及程序
CN1551583A (zh) 数据包通信装置
CN1762123A (zh) 使未采用集中管理的匿名非信任方之间的通信和资源共享安全的方法与装置
CN1729460A (zh) 通信方法、通信***、中继***、通信程序、中继***用程序、邮件发送的***、方法及程序
CN1302650C (zh) 网络访问服务器及方法
CN1870532A (zh) 一种信令跟踪方法和***
CN1928861A (zh) 用于进行项目共享的即时通信客户机和方法
CN101053239A (zh) 与安全通信有关的改进
CN1317756A (zh) 用户轮廓数据的管理
CN1918865A (zh) 生成和处理可任意处理的电子邮件地址的方法、***以及计算机程序产品
CN1678993A (zh) Web服务设备和方法
CN1571403A (zh) 用于监控网络流量的方法和设备
CN101039239A (zh) 具有集中处理和存储的远端图象捕获的***和方法
CN101064726A (zh) 地址变换装置、消息处理方法及网络***
CN1781087A (zh) 安全访问带有客户端接收的专用网的方法和***
CN1208536A (zh) 提供电信业务的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100428

Termination date: 20111224