DE202012013482U1 - Verteilung von Zugriffsinformationen auf Overlay-Netzwerken - Google Patents

Verteilung von Zugriffsinformationen auf Overlay-Netzwerken Download PDF

Info

Publication number
DE202012013482U1
DE202012013482U1 DE202012013482.5U DE202012013482U DE202012013482U1 DE 202012013482 U1 DE202012013482 U1 DE 202012013482U1 DE 202012013482 U DE202012013482 U DE 202012013482U DE 202012013482 U1 DE202012013482 U1 DE 202012013482U1
Authority
DE
Germany
Prior art keywords
resource
network
information
computer
protected resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE202012013482.5U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Google LLC
Original Assignee
Google LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Google LLC filed Critical Google LLC
Publication of DE202012013482U1 publication Critical patent/DE202012013482U1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Computer, umfassend:
das Speichern von Netzwerkadressen von Ressourcen und damit verbundene Erreichbarkeitsinformationen; und
einen Prozessor, der an den Speicher gekoppelt und für Folgendes konfiguriert ist:
das Empfangen einer Anfrage von einem Kundengerät über ein zweites Netzwerk, die eine geschützte Ressource von einem ersten Netzwerk identifiziert;
das Abfragen des Speichers, um eine Netzwerkadresse der geschützten Ressource zu identifizieren;
das Festlegen, ob die geschützte Ressource allgemein zugänglich ist, basierend auf der identifizierten Netzwerkadresse, worin eine Ressource allgemein zugänglich ist, wenn sie sich nicht im gemeinsamen Raum befindet;
wenn die geschützte Ressource nicht von der Speichererreichbarkeit der geschützten Ressource identifiziert wird; und
das Generieren von zusätzlichen Informationen, basierend auf den Erreichbarkeitsinformationen und Übertragung von zusätzlichen Informationen und der Netzwerkadresse an das Kundengerät.

Description

  • HINTERGRUND DER ERFINDUNG
  • Ein typisches virtuelles privates Netzwerk ("VPN") verbindet Kundengeräte mit einem bestimmten Tunnelendpunkt in einem privaten oder internen Netzwerk und liefert von diesem Endpunkt allgemeinen Zugriff auf die in dem Netzwerk verfügbaren Ressourcen. Zum Beispiel liefern VPN-Netzwerke typischerweise einen einzelnen Tunnelendpunkt pro Kundengerät. Dieser Endpunkt kann konfiguriert werden, wenn die VPN-Verbindung anfänglich geöffnet wird. Sobald der Tunnel zwischen dem internen Netzwerk und dem Kundengerät erfolgreich verbunden wurde, kann das Kundengerät auf die Ressourcen des internen Netzwerkes (Daten, Anwendungen, usw.) als eine interne Ansicht jedes aufgeteilten Split Domain Servers („DNS“) zugreifen.
  • Diese VPN-Verbindungen können etwas dadurch begrenzt werden, dass sie es erforderlich machen, dass das VPN verbunden wird, bevor man auf die Ressourcen oder Daten zugreift, die innerhalb des internen Netzwerks gehostet werden. In einigen Beispielen kann der Benutzer auf verschiedene Störungen stoßen, wie z.B. wenn eine DNS-Name-Resolution zu einem negativen Ergebnis (NXDOMAIN) führt, weil der Name nicht auf der Seite der aufgeteilten DNS bekanntgegeben wird und die Anwendungsberichte 'Host nicht erreichbar' oder 'Service nicht verfügbar' melden. Dies kann auftreten, wo die DNS-Informationen zwischengespeichert werden, aber die Ressource nicht erreichbar ist, bevor das VPN aufrecht ist. Solche Störungen können häufig einen direkten Eingriff des Benutzers erforderlich machen. Zusätzlich kann das Konfigurationsverfahren die Granularität der Sicherheit auch erheblich begrenzen oder eine zusätzliche Konfiguration durch den Administrator des internen Netzwerkes erforderlich machen, um die Erreichbarkeit zu begrenzen, nachdem die Kundengeräte Informationen über den Tunnel gesendet und empfangen haben. In anderen Beispielen können diese Konfigurationen dort, wo diese zusätzlichen Konfigurationen erreicht wurden (z.B. durch die Zuweisung unterschiedlicher VPN-Benutzer an verschiedene VLANs) eher pro Kundengerät oder Benutzer sein anstatt für eine bestimmte Anwendung.
  • KURZDARSTELLUNG
  • Aspekte der Offenbarung beziehen sich im Allgemeinen auf die Verteilung von Netzwerkzugriffsinformationen. Genauer gesagt beschreibt ein Aspekt der Veröffentlichung ein computerimplementiertes Verfahren für den Zugriff auf eine geschützte Ressource eines ersten Netzwerks. Das Verfahren umfasst die Übertragung einer Anfrage, die die geschützte Ressource über ein geschütztes Netzwerk feststellt. Ein Ressourceneintrag wird von einem Authentifizierungsserver empfangen. Der Ressourceneintrag identifiziert einen Bastion Host, einen Port und ein Verbindungsverfahren. Eine Anfrage wird an den Port übertragen, basierend auf dem Verbindungsverfahren. Ein Prozessor baut eine Tunnelverbindung mit dem Bastion Host auf. Der Zugriff auf die geschützte Ressource erfolgt über die Tunnelverbindung und den Bastion Host.
  • In einem Beispiel ist das erste Netzwerk ein privates Netzwerk und das zweite Netzwerk ein öffentliches Netzwerk. In einem anderen Beispiel ist der Authentifizierungsserver ein DNS-Server, der Netzwerkadressen als Antwort auf die Anfragen von Kundengeräten bietet. In einem anderen Beispiel wird auf die geschützte Ressource zugegriffen ohne den Zugriff auf eine andere Ressource des privaten Netzwerks zu gewähren. In einem anderen Beispiel umfasst das erste Netzwerk einen gemeinsamen Netzwerkraum.
  • Ein anderer Aspekt der Offenbarung bietet ein computerimplementiertes Verfahren für die Bereitstellung eines Ressourceneintrags, um eine geschützte Ressource eines ersten Netzwerkes zu erreichen. Das Verfahren umfasst den Erhalt einer Anfrage, die die geschützte Ressource identifiziert, von einem Kundengerät über ein zweites Netzwerk aus. Der Speicher wird abgefragt, um eine Netzwerkadresse der geschützten Ressource zu identifizieren. Ein Prozessor bestimmt, ob die geschützte Ressource im Allgemeinen basierend auf der bezeichneten Netzwerkadresse zugänglich ist; zugänglich falls dies nicht der Fall ist, wobei eine Ressource im Allgemeinen im gemeinsamen Adressenraum ist. Wenn die geschützte Ressource allgemein nicht zugänglich ist, werden Erreichbarkeitsinformationen für die geschützte Ressource identifiziert. Zusätzliche Informationen werden basierend auf den Erreichbarkeitsinformationen generiert. Die zusätzlichen Informationen und die Netzwerkadresse werden an das Kundengerät übermittelt.
  • In einem Beispiel umfassen die zusätzlichen Informationen einen Ressourceneintrag, der einen Computer, einen Port für den Computer und ein Verbindungsverfahren identifizieren. In diesem Beispiel identifiziert das Verbindungsverfahren ein Verfahren, das das Kundengerät benutzt, um auf die geschützte Ressource zuzugreifen.
  • Ein zusätzlicher Aspekt der Offenbarung sieht ein computerimplementiertes Verfahren für den Zugriff auf eine öffentlich verfügbare Ressource eines ersten, öffentlichen Netzwerks vor. Das Verfahren umfasst die Übertragung einer Anfrage, die die öffentliche Ressource über ein zweites, privates Netzwerk identifiziert. Informationen, die einen Bastion Host, einen Port und ein Verbindungsverfahren identifizieren, werden von einem Authentifizierungsserver empfangen. Ein Prozessor generiert eine Anfrage, um auf die öffentliche Ressource basierend auf dem Verbindungsverfahren zuzugreifen. Die Anfrage wird an den Port übermittelt, um eine Tunnelverbindung zwischen dem Bastion Host und der öffentlichen Ressource herzustellen. Auf die öffentliche Ressource wird über die Tunnelverbindung und den Bastion Host zugegriffen. In einem Beispiel ist der Authentifizierungsserver ein DNS-Server, der Netzwerkadressen als Antwort auf die Anfragen des Kundengeräts in Verbindung mit Netzwerkstandorten innerhalb des ersten privaten Netzwerks liefert. In einem anderen Beispiel umfasst das zweite Netzwerk einen gemeinsamen Netzwerkraum. In einem anderen Beispiel umfasst das Verfahren vor der Übertragung der zusätzlichen Informationen die Verschlüsselung der zusätzlichen Informationen, um die verschlüsselten Informationen zu erhalten. Ferner umfasst darin die Übertragung der zusätzlichen Informationen die Übertragung der verschlüsselten Informationen.
  • Noch weiterer Aspekt der Offenbarung sieht ein computerimplementiertes Verfahren für die Bereitstellung eines Ressourceneintrags für die Erzielung einer privaten Ressource eines ersten Netzwerks vor. Die Verfahren umfasst den Erhalt einer Anfrage, die die öffentliche Ressource identifiziert von einem Kundengerät über ein zweites Netzwerk. Der Speicher wird abgefragt, um eine Netzwerkadresse der geschützten Ressource zu identifizieren. Ein Prozessor bestimmt, ob die geschützte Ressource innerhalb des zweiten Netzwerks liegt, basierend auf der identifizierten Netzwerkadresse. Wenn die geschützte Ressource nicht innerhalb des zweiten Netzwerks ist, werden Erreichbarkeitsinformationen für die geschützte Ressource identifiziert. Zusätzliche Daten werden basierend auf den Erreichbarkeitsinformationen generiert. Die zusätzlichen Informationen und die Netzwerkadresse werden an das Kundengerät übertragen.
  • In einem Beispiel umfassen die zusätzlichen Informationen einen Ressourceneintrag, der einen Computer, einen Port für den Computer und ein Verbindungsverfahren identifizieren. In einem anderen Beispiel identifiziert das Verbindungsverfahren ein Verfahren, das das Kundengerät benutzt, um auf die geschützte Ressource zuzugreifen. In einem anderen Beispiel ist erste Netzwerk ein privates Netzwerk und das zweite Netzwerk ein öffentliches Netzwerk.
  • Ein noch weiterer Aspekt der Offenbarung sieht einen Computer vor. Der Computer umfasst Ressourcen und ein Speichernetzwerk in Verbindung mit den Erreichbarkeitsinformationen. Der Computer umfasst auch einen Prozessor, der mit dem Speicher gekoppelt ist. Der Prozessor ist konfiguriert, um über ein zweites Netzwerk von einem Kundengerät aus eine Anfrage zu erhalten, die eine geschützte Ressource eines ersten Netzwerkes identifiziert, nach dem Speicher anfragt, um eine Netzwerkadresse der geschützten Ressource zu identifizieren, er bestimmt ob die geschützte Ressource allgemein zugänglich ist basierend auf der identifizierten Netzwerkadresse, wobei eine Ressource generell zugänglich ist, wenn sie nicht im gemeinsamen Adressenraum ist; wenn die geschützte Ressource nicht generell zugänglich ist, identifizieren Sie vom Speicher aus Erreichbarkeitsinformationen für die geschützte Ressource; generieren Sie zusätzliche Informationen basierend auf den Erreichbarkeitsinformationen; und übermitteln Sie die zusätzlichen Informationen und die Netzwerkadresse an das Kundengerät.
  • In einem Beispiel ist der Prozessor auch konfiguriert, um zusätzlichen Informationen zu generieren, die einen Ressourceneintrag enthalten, der einen Computer, einen Port für den Computer und ein Verbindungsverfahren identifiziert. In diesem Beispiel identifiziert das Verbindungsverfahren ein Verfahren, das das Kundengerät benutzt, um auf die geschützte Ressource zuzugreifen. In einem anderen Beispiel wird der Prozessor auch konfiguriert, bevor die zusätzlichen Informationen übermittelt werden, um zusätzliche Informationen zu verschlüsseln, um verschlüsselte, zusätzliche Informationen zu erhalten, und worin der Prozessor konfiguriert wird, um die zusätzlichen Informationen durch die Übertragung der verschlüsselten zusätzlichen Informationen zu übertragen.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein funktionelles Diagramm eines Systems in Übereinstimmung mit Aspekten der Offenbarung.
  • 2 ist ein Piktogramm des Systems von 1.
  • 3 ist ein anderes Diagramm des Systems von 1.
  • 4 ist ein weiteres Diagramm des Systems von 1.
  • 5 ist noch ein weiteres Diagramm des Systems von 1.
  • 6 ist ein weiteres Diagramm des Systems von 1.
  • 7 ist ein Flussdiagramm in Übereinstimmung mit Aspekten der Offenbarung.
  • 8 ist ein weiteres Piktogramm eines Systems in Übereinstimmung mit Aspekten der Offenbarung.
  • 9 ist ein Flussdiagramm in Übereinstimmung mit Aspekten der Offenbarung.
  • AUSFÜHRLICHE BESCHREIBUNG
  • In einem Beispiel kann ein Kundengerät eine Anfrage, die Informationen enthält, die eine geschützte Ressource identifizieren, übertragen. Ein Authentifizierungsserver kann dann die Anfrage empfangen und authentifizieren. Der Authentifizierungsserver fragt eine Netzwerkadresssuchtabelle ab, um einen Satz von einer oder mehreren Netzwerkadressen für die geschützte Ressource zu identifizieren, basierend auf den Feststellungsinformationen der Anfrage. Der Authentifizierungsserver kann bestimmen, ob der Satz von einer oder mehrerer Netzwerkadressen eine Netzwerkposition oder -positionen bezeichnet, die im Allgemeinen zugänglich sind. Für jede Adresse eines Satzes an einer oder mehreren Netzwerkadressen, die sonst allgemein nicht zugänglich ist, identifiziert der Authentifizierungsserver die Erreichbarkeitsinformationen, die einen Computer wie einen Bastion Host, einen Port und ein Verbindungsverfahren für den Zugriff auf die geschützte Ressource identifiziert. Die Erreichbarkeitsinformationen können benutzt werden, um einen Ressourceneintrag zu generieren. Der Ressourceneintrag oder -einträge und der Satz von einer oder mehrerer Netzwerkadressen können dann an das Kundengerät übertragen werden.
  • Das Kundengerät kann den Ressourceneintrag oder -einträge und den Satz von einem oder mehreren Netzwerkadressen empfangen. Als Antwort kann das Kundengerät eine Anfrage auf Zugang zur geschützten Ressource übertragen, basierend auf den Informationen für jeden der Ressourceneinträge. Diese Anfragen können von anderen Computern wie z.B. Bastion Hosts (im Ressourceneintrag identifiziert) empfangen und verifiziert werden. Der Bastion Host und das Kundengerät erstellen dann eine Tunnelverbindung (oder je nachdem mehrere Tunnelverbindungen), und das Kundengerät kann die Tunnelverbindung dazu benutzen, auf die geschützte Ressource über den Bastion Host zuzugreifen.
  • Wie in 12 gezeigt, kann ein beispielhaftes System 100 Computer 110, 120, 130 und 140 enthalten. Der Computer 110 kann einen Prozessor 112, einen Speicher 114 und andere Komponenten enthalten, die in der Regel in Allzweckcomputern vorhanden sind. Der Speicher 114 des Computers 110 kann Informationen speichern, die vom Prozessor 112 abgerufen werden können, einschließlich Anweisungen 116, die durch den Prozessor 112 ausgeführt werden können.
  • Der Speicher kann auch Daten 118 beinhalten, die durch Prozessor abgerufen, manipuliert oder gespeichert werden können. Der Speicher kann jeder beliebige Speichertyp sein, der vom Prozessor zugängliche Informationen speichern kann, wie Festplattenlaufwerke, Speicherkarten, ROM, RAM, DVD, CD-ROM, beschreibfähige und schreibgeschützte Speicher.
  • Die Anweisungen 116 können jeder beliebige Satz Anweisungen zur direkten (wie ein Maschinencode) oder indirekten (wie Scripts) Ausführung durch den Prozessor sein. Diesbezüglich können die Begriffe „Anweisungen“, „Anwendung“, „Schritte“ und „Programme“ hierin austauschbar verwendet werden. Die Anweisungen können im Objektcodeformat zur direkten Verarbeitung durch den Prozessor oder in jeder anderen Computersammlung von unabhängigen Sprachen einschließlich Scripts oder Sourcecodemodule, gespeichert werden, die auf Anfrage interpretiert oder im Voraus erstellt werden können. Funktionen, Verfahren und Routinen der Anweisungen werden unten ausführlicher erklärt.
  • Daten 118 können vom Prozessor 112 gemäß den Anweisungen 116 abgerufen, gespeichert oder bearbeitet werden. Obwohl, zum Beispiel, das System und die Verfahren nicht auf eine bestimmte Datenstruktur begrenzt sind, können die Daten in Computerregistern in einer relationalen Datenbank als eine Tabelle gespeichert werden, die über eine Vielzahl von unterschiedlichen Feldern und Datensätzen, XML Dokumenten oder unstrukturierten Dateien verfügt. Die Daten können auch in jedem beliebigen computerlesbaren Format formatiert sein, wie unter anderem binäre Werte, ASCII oder Unicode. Darüber hinaus können die Daten alle Informationen umfassen, die dazu dienen, die relevanten Informationen zu identifizieren, wie Zahlen, beschreibende Texte, proprietäre Codes, Zeiger, Verweise zu in anderen Speichern abgelegten Daten (einschließlich anderer Netzwerkstandorte) oder Informationen, die von einer Funktion zur Berechnung der relevanten Daten genutzt werden.
  • Der Prozessor 112 kann jeder herkömmliche Prozessor sein, wie im Handel erhältliche CPUs. Alternativ kann der Prozessor ein dediziertes Gerät wie ein ASIC oder ein anderer hardwarebasierter Prozessor sein. Obgleich 1 funktionell den Prozessor, Speicher und andere Elemente des Computers 110 als innerhalb des gleichen Blocks darstellt, werden durchschnittliche Fachleute verstehen, dass der Prozessor, Computer oder Speicher tatsächlich mehrere Prozessoren, Computer oder Speicher umfassen kann, die möglicherweise innerhalb des gleichen körperlichen Gehäuses gespeichert oder nicht gespeichert werden können. Der Speicher kann beispielsweise eine Festplatte oder anderes Speichermedium sein, das sich in einem Gehäuse befindet, das von dem des Computers 110 abweicht. Demgemäß beinhalten Bezugnahmen auf einen Prozessor, Computer oder Speicher Bezugnahmen auf eine Sammlung von Prozessoren, Computer oder Speicher, die parallel betrieben werden können oder nicht.
  • Der Computer 110 kann an einem Knoten eines Netzwerks 150 und imstande sein, direkt und indirekt mit anderen Knoten des Netzwerks zu kommunizieren. Zum Beispiel kann der Computer 110 ein Kundengerät enthalten, das in der Lage ist mit anderen Geräten zu kommunizieren, wie z.B. einem Server 120 und Bastion Hosts 170, 180, 190 über das Netzwerk 150. In dieser Hinsicht können der Server 120 und die Bastion Hosts 170, 180, 190 Informationen an Kundengeräte 110, 130 und 140 senden und in Formation von diesen erhalten.
  • Auch der Server 120 kann mehrere Computer, z.B. eine lastausgeglichene Serverfarm umfassen, die Informationen mit verschiedenen Knoten eines Netzwerks austauschen, um Daten von den Kundengeräten zu empfangen, zu verarbeiten und an sie zu senden. In diesem Fall werden sich die Kundengeräte typischerweise immer noch an verschiedenen Knoten des Netzwerks befinden als jeder der Computer, die den Server 120 umfassen.
  • Jedes Kundengerät 130, 140 kann vergleichbar zum Kundengerät 110 konfiguriert werden, mit einem Prozessor, einem Speicher, Anweisungen und Daten (ähnlich dem Prozessor 112, Speicher 114, Anweisungen 116 und Daten 118). Jedes Kundengerät 120, 130, 140 kann ein PC-Computer sein, das für die Nutzung durch eine Person 210 – 12 bestimmt ist, mit allen Komponenten 119, die normalerweise in einem PC-Computer vorhanden sind, wie z.B. Zentraleinheit (CPU), Anzeigegerät (beispielsweise Monitor mit einem Bildschirm, Projektor mit Bildschirm, Projektor, ein Touchscreen, kleinen LCD-Bildschirm, einem Fernsehgerät oder einem anderen Gerät, wie z.B. einem elektrischen Gerät, das zur Anzeige der vom Prozessor verarbeiteten Informationen betriebsfähig ist), CD-ROM-Laufwerk, Festplattenlaufwerk, Benutzereingabeeinrichtung (beispielsweise eine Maus, Tastatur, Touchscreen oder Mikrofon), Lautsprecher, Modem und/oder Netzschnittstellengerät (Telefon, Kabel oder Sonstiges) sowie alle Komponenten, die zur Verbindung dieser Elemente untereinander erforderlich sind. Darüber hinaus können Computer gemäß den hierin beschriebenen Systemen und Verfahren alle Geräte umfassen, die in der Lage sind, Anweisungen zu verarbeiten und Daten an und von Personen und Computer zu übertragen, einschließlich Allzweckcomputer, PDA, Netzwerkcomputer ohne lokale Speicherkapazität und Settop-Boxen für Fernsehgeräte und andere vernetzte Geräte.
  • Obwohl die Computer 110, 130, 140 einen Fullsize-PC umfassen können, können das System und die Verfahren auch in Verbindung mit Mobilgeräten benutzt werden, die in der Lage sind, Daten kabellos mit einem Server über ein Netzwerk wie das Internet zu übertragen. Nur als Beispiel kann das Kundengerät 140 ein zum kabellosen Gebrauch fähiges FDA, ein Navigationsgerät für die Hand oder für den Gebrauch im Auto, Tablett-PC, Netbook oder ein Mobiltelefon sein, die in der Lage sind, Informationen über das Internet zu erhalten. Der Benutzer kann zum Beispiel mittels einer kleinen Tastatur, eines Tastenfelds oder eines Touchscreens Informationen eingeben.
  • Vergleichbar mit den Kundengeräten 110, 140 und 130, können Computer 120 einen Server umfassen, einschließlich eines Prozessors 122, Speichers 124, Anweisungen 116, und Daten 118, wie oben beschrieben. Der Server 120 kann Anträge für Information authentifizieren. Zum Beispiel kann der Authentifizierungsserver ein DNS-Server sein. In diesem Beispiel können Daten 118 eine DNS- oder IP-Adressensuchtabelle mit Kartenverbindungen zwischen Domainnamen und IP-Adressen enthalten. In dieser Hinsicht, als Antwort auf den Erhalt einer Anfrage zur Identifizierung eines Domänennamens, z.B. „www.a.com“ von einem Kundengerät 110, 130 oder 140, kann DNS 120 den anfragenden Knoten mit einem Satz von einem oder mehreren IP-Adressen versehen. Die IP Adressen und die Netzwerkadressen, die hierin verwendet werden, sind nicht auf spezifische IP-Adressfamilien (wie IPv4 oder IPv6) begrenzt und können mit verschiedenen Protokollen verwendet werden. Wie ausführlicher unten beschrieben, können Daten 118 auch Informationen zur Erreichbarkeit enthalten, die benutzt werden, um zusätzliche Informationen zu generieren, die zu den Kundengeräten gesendet werden.
  • Bastion Hosts 170, 180, und 190 können ähnlich wie DNS 120 und Kundengeräte 110, 130 und 140 konfiguriert werden. Zum Beispiel kann der Bastion Host 180 einen Prozessor 182, Speicher 184, Anweisungen 186 und Daten 188 umfassen, wie oben beschrieben. Obwohl dieses nicht gezeigt, können Bastion Hosts 170 und 190 auch Zugang zu diesen Eigenschaften bereitstellen. Jeder Bastion Host kann eine oder mehrere Ressourcen R1–R4 sein. Wie in den 1 und 2 gezeigt, kann der Bastion Host 170 mit der Ressource R-1, Bastion Host 180 mit der Ressource R-2, und Bastion Host 190 mit der Ressource R-3 R-4 verbunden werden. Wie nachfolgend im Detail beschrieben, können Daten 118 des Bastion Host 180 Prüfinformationen enthalten, die vom Bastion Host verwendet werden, um den Zugriff auf eine Ressource wie z.B. R1–R4, in Zusammenhang mit einem Netzwerk 160 zu erlauben oder abzulehnen.
  • Jede der Ressourcen R1–R4 kann sich an einem anderen Knoten des Netzwerks 160 befinden. Zum Beispiel können die IP-Adresse und der Port für jede dieser Ressourcen eindeutig sein. Es ist verständlich, dass die gleiche IP-Adresse verschiedenen Ressourcen auf verschiedenen Ports dienen kann, und dass die Tunnelverbindungen, die diesen Ressourcen dienen, eindeutig sind. Damit ein Bastion Host eine eindeutige Tunnelverbindung zu verschiedenen Ressourcen erstellt, müssen die Ressourcen auf der Netzwerkebene unterscheidbar sein (hier durch Adresse und Port).
  • Ressourcen R1–R4 können verschiedene Computerprogramme, Anwendungen, Daten, usw. umfassen, die mit dem Netzwerk 160 verbunden werden. Zum Beispiel kann R1 eine Anwendung für die Modellierung von Finanzinformationen umfassen. R2 kann einen E-Mail-Server umfassen, bei dem auf ein oder mehr E-Mail-Konten zugegriffen werden kann. R3 kann ein Programm oder eine Anwendung zur Ansicht, Vorbereitung oder Bearbeitung von Dokumenten umfassen, während R4 einen Speicher zur Speicherung der zuvor genannten Dokumente enthalten kann.
  • Der DNS 120, die Bastion Hosts 190, 180 und 190 und die Kundengeräte 110, 130, 140 sind in der Lage, direkt und indirekt zu kommunizieren, wie z.B. über Netzwerk 150. Jeder dieser Computer kann mit einer Netzwerkposition verbunden sein, die identifiziert ist, wie eine IP-Adresse für eine Netzwerkposition des Internets. Obwohl nur wenige Computer in den 12 dargestellt werden, sollte es klar sein, dass ein typisches System eine große Anzahl von angeschlossenen Computern beinhalten kann, wobei sich jeder dieser Computer an einem anderen Knoten des Netzwerks 150 befindet.
  • Die Netzwerke 150, 160 und die hier beschriebenen Knoten können mit verschiedenem Internetprotokollen und Systemen weltweit angeschlossen werden, so dass jedes ein Teil des Webs, spezifischen Intranets, der Fernnetzwerke oder der lokalen Netzwerke sein kann. Diese können Standardkommunikationsprotokolle verwenden oder solche, die einem oder mehreren Unternehmen gehören, Ethernet, Wi-Fi und HTTP und verschiedene Kombinationen des zuvor genannten verwenden. Zum Beispiel kann das Netzwerk 160 ein privates Internet oder Intranet für ein Geschäft oder eine andere Einheit sein, während das Netzwerk 150 ein öffentliches Netzwerk wie z.B. das Internet sein kann. Das private Netzwerk 160 kann daher nicht generell über Computer oder Geräte des Netzwerks 150 erreicht werden, da das private Netzwerk 160 in einem gemeinsamen Adressbereich, wie in RFC 1918 beschrieben, oder auf eine andere Weise isoliert sein kann.
  • Obgleich gewisse Vorteile erzielt werden, wenn Informationen wie oben angegeben übertragen oder empfangen werden, sind andere Aspekte des Systems und des Verfahren nicht auf eine besondere Art und Weise der Informationsübertragung eingeschränkt. In manchen Aspekten können Informationen zum Beispiel über ein Medium wie eine Platte, ein Band oder CD-ROM gesendet werden. Jedoch weiterhin, obwohl einige Funktionen in der Weise dargestellt sind, dass sie auf einem einzelnen Computer mit einem einzigen Prozessor erfolgen, können verschiedene Aspekte des Systems und des Verfahrens durch mehrere Computer implementiert werden, z.B. indem Informationen über das Netzwerk 150 kommuniziert werden.
  • Zusätzlich zu den oben ausführlich beschriebenen Betrieben, die unten beschrieben werden und in den Figuren dargestellt werden, werden jetzt verschiedene Betriebe beschrieben. Es versteht sich, dass die folgenden Betriebe nicht exakt in der nachstehend beschriebenen genauen Reihenfolge durchgeführt werden müssen. Stattdessen können unterschiedliche Schritte in einer unterschiedlichen Reihenfolge oder gleichzeitig durchgeführt werden. Schritte können auch ausgelassen werden, sofern nicht anderweitig angegeben.
  • Ein Benutzer kann auf eine Ressource zugreifen wollen, die von einem privaten Netzwerk betrieben wird. Zum Beispiel, wie in 3 gezeigt, kann ein Benutzer des Kundengeräts 110 auf eine Ressource wie z.B. R2 des privaten Netzwerks 160 zugreifen wollen (siehe 1 und 2). Obgleich die Ressourcen R1–R4 über das Netzwerk 150 verfügbar sein können, können diese Ressourcen geschützte Ressourcen sein, dadurch dass nicht durch Benutzer des Kundengeräts auf sie zugegriffen wird oder sie nicht verwendet werden, bis das Kundengerät eine Tunnelverbindung mit dem entsprechenden Bastion Host wie unten beschrieben aufbaut.
  • Ein Kundengerät kann eine Anfrage für die Netzwerkposition einer Ressource generieren, die auf einem privaten Netzwerk gepflegt wird. Zum Beispiel kann ein DNS-Kunde, der in das Betriebssystem des Kundengeräts integriert ist, oder ein Browser, der vom Benutzer verwendet wird die Anfrage generieren. Die Anfrage kann entsprechend einem Authentifizierungsprotokoll, wie z.B. eine von Secret Key Transaction Authentication für DNS („TSIG“) unterzeichnete Anfrage für die A und AAAA-Einträge wie in RFC 2845 besprochen erzeugt werden.
  • In einem Beispiel kann der Authentifizierungsserver eine Vielzahl von geographisch verteilten Servern enthalten. Zum Beispiel kann der Authentifizierungsserver, der die Anfrage empfängt, den Satz von einem oder mehreren Servern auswählen, um die Anfrage weiterzuleiten, basierend auf einer oder mehreren authentifizierten Identitäten, der IP-Adresse oder dem anfragenden Kundengerät, und der Ladung auf den Authentifizierungsservern.
  • Die Anfrage kann Informationen beinhalten, die eine Ressource identifizieren und die die Netzwerkposition der Ressource anfragen. Zum Beispiel kann die Anfrage 310 wie in 3 gezeigt, die Ressource R-2 als „resource_r2.internal.corp.example“ bezeichnen. Zum Beispiel kann das Kundengerät, falls die Anfrage durch Verwendung von dem DNS gesendet wird, die folgenden Elemente in einem DNS-Anfrage-Tupel verwenden: <Fragenname, Art, Server-IP-Adresse>. Im oben genannten Beispiel kann die Anfrage <; Ressource_r2.interne.corp.Beispiel, A, IN, IP-Adresse des DNS-Servers> umfassen, wobei A die Ressourceneintragsart einer IPv4-Adresse und IN die Internet-DNS-Klasse ist.
  • Obgleich keine Authentifizierung vorliegt, kann der Authentifizierungsserver die Anfrage erhalten und falls erforderlich authentifizieren. Zum Beispiel kann der DNS 120 konfiguriert werden, um Anfragen für Ressourcen bei internal.corp.Beispiel zu authentifizieren, indem das Verfahren benutzt wird, das in RFC 2845 beschrieben wird.
  • Der Authentifizierungsserver kann bestimmen, ob die in der Anfrage identifizierte Ressource innerhalb des Netzwerks liegt, das allgemein nicht erreichbar ist. Zum Beispiel kann der DNS 120 die Suchtabelle und die Ressource R-2 abfragen. Der Server kann eine IP-Adresse identifizieren und dann bestimmen, ob die Ressource allgemein erreichbar ist, zum Beispiel basierend darauf ob die identifizierte IP-Adresse innerhalb des RFC 1918-Raums liegt. In einem anderen Adressbeispiel kann die Erreichbarkeit in einer besonderen Suchtabelle integriert sein. Wenn die identifizierte Netzwerkposition allgemein erreichbar ist, kann der Authentifizierungsserver die identifizierte Netzwerkposition zum anfragenden Kundengerät übertragen und das Kundengerät kann diese Informationen benutzen, um auf die Ressource direkt zuzugreifen.
  • Wenn die identifizierte Netzwerkposition allgemein nicht erreichbar ist, kann der Authentifizierungsserver auch ein Erreichbarkeitsverfahren für die identifizierte Netzwerkposition identifizieren und zusätzliche Daten generieren (im Detail nachfolgend beschrieben), um diese zum Kundengerät zu übertragen. Zum Beispiel kann jede Netzwerkadresse, die nicht allgemein zugänglich ist, mit Erreichbarkeitsinformationen in Verbindung gebracht werden. Diese Erreichbarkeitsinformationen können z.B. in der allgemeinen DNS-Suchtabelle, einer zweiten Suchtabelle oder einem anderen Speicherort enthalten sein. Zum Beispiel kann die Ressource R-2 sich innerhalb eines privaten Netzwerks 160 befinden, das in einem gemeinsamen Netzwerkraum sein kann, wie oben beschrieben und dennoch nicht allgemein erreichbar sein kann. In diesem Beispiel kann der DNS 120 ein Erreichbarkeitsverfahren basierend auf Informationen in Verbindung mit der Netzwerkposition der Ressource R-2 identifizieren.
  • Sobald die Netzwerkadresse und die Erreichbarkeitsverfahren gekennzeichnet sind, kann der Authentifizierungsserver zusätzliche Daten generieren. Zum Beispiel können die zusätzlichen Daten das Konnektivitätsverfahren für das Erreichen der Netzwerkadresse der Ressource definieren, die in der Anfrage identifiziert wird. Die zusätzlichen Daten können in einem Ressourceneintrag verpackt werden, wie z.B. einem Ressourceneintrag für den privaten Gebrauch, einem URI in einem URI-Ressourceneintrag oder einem anderen Ressourceneintrag das dem Zweck der Bereitstellung von zusätzlichen Daten gewidmet ist. Für einen typisches DNS-Ressourceneintrag können die Daten den Namen, die Art, die Klasse, TTL (Lebensdauer oder Zeitraum, für den die Informationen gültig sind), Ressourceneintragslänge, und Ressourceneintragsdaten enthalten. In einem Beispiel können die zusätzlichen Daten einem zusätzlichen Datenabschnitt der Antwort der Originalanfrage hinzugefügt werden, und können den DNS-Namen, den Port und ein Tunnelverbindungsverfahren für die Ressource enthalten. Die zusätzlichen Daten können auch unter Verwendung von verschiedenen Protokollen wie z.B. TSIG, Domain Name-Sicherheitssystemerweiterung, usw. oder einer Kombination solcher Protokolle gesichert werden.
  • Der Authentifizierungsserver kann dann die identifizierten Netzwerkadressen wie auch die zusätzlichen Daten an das anfragende Kundengerät übertragen. Zum Beispiel können die Daten, die dem Kundengerät zur Verfügung gestellt werden, die ursprüngliche Anfrage, die Antwort und die zusätzlichen Daten enthalten. Wie in 4 gezeigt, kann der DNS 120 Antwort 410 zum Kundengerät 110 übertragen. Antwort 410 kann die ursprüngliche Anfrage 310, den Ressourcencode und zusätzliche Daten enthalten, die den Bastion Host 180, einen Port für den Bastion Host und ein Verbindungsverfahren enthalten.
  • Die durch Anweisungen identifizierte Verbindung für den Zugang zur Verfahrensressource kann in der Anfrage identifiziert beinhaltet sein. Zum Beispiel kann das Verbindungsverfahren Anweisungen umfassen, um Authentifizierungsinformationen darzustellen, wie ein Zertifikat, einen Schlüssel, ein Passwort oder andere Informationen für den identifizierten Port.
  • Das Kundengerät kann die Antwort empfangen und die zusätzlichen Daten verwenden, um eine Verbindung aufzubauen. Wenn zum Beispiel die zusätzlichen Daten verschlüsselt worden sind, kann das Kundengerät die zusätzlichen Daten entschlüsseln, um auf die Informationen der zusätzlichen Daten, die den Bastion Host 180 identifizieren, den Port für den Bastion Host und das Verbindungsverfahren zuzugreifen. Wie in 5 gezeigt, kann das Kundengerät 110 dann anfragen, sich mit der Ressource R-2 über Bastion Host 180 über das Verbindungsverfahren zu verbinden, das in der Antwort 410 identifiziert wird. Der Bastion Host 180 kann die auf dem Verbindungsverfahren basierende Anfrage, die von dem Kundengerät 110 verwendet wird, verifizieren. Wenn die Anfrage nicht verifiziert wird, kann der Bastion Host 180 dem Kundengerät den Zugriff auf die Ressource R-2 verweigern. Wenn die Anfrage verifiziert wird, kann der Bastion Host eine Verbindung 510 zwischen dem Bastion Host und dem Kundengerät aufbauen. In einem Beispiel kann der Anschluss 510 eine Tunnelverbindung durch das Netzwerk 150 sein.
  • Sobald die Verbindung erfolgreich aufgebaut wurde, kann der Kunde die Verbindung benutzen, um auf die Ressource zuzugreifen. Der Kunde kann z.B. die Overlay-Netzwerkoberfläche des Tunnels benutzen, um eine Anwendungs-Schichtverbindung 610 zur Ressource R-2 nach Plan aufzubauen: //Ressource_R2. internal.corp.Beispiel, wie in 6 gezeigt.
  • 7 ist ein Beispiel eines Flussdiagramms, das einige der Eigenschaften des oben beschriebenen Prozesses zeigt. Zum Beispiel überträgt ein Kundengerät eine Anfrage, die Informationen enthält, die eine geschützte Ressource in Block 702 identifizieren. Ein Authentifizierungsserver empfängt und authentifiziert die Anfrage wie oben beschrieben. Der Authentifizierungsserver fragt dann eine Netzwerkadresssuchtabelle ab, um eine IP-Adresse der geschützten Ressource, basierend auf den identifizierenden Informationen der Anfrage in Block 708 zu identifizieren. Der Authentifizierungsserver bestimmt dann, ob die IP-Adresse eine Netzwerkposition bezeichnet, die allgemein in Block 708 zugänglich ist. Wenn dem so ist, überträgt der Authentifizierungsserver die IP-Adresse zurück zum anfragenden Kundengerät in Block 710. Das Kundengerät erhält dann die IP-Adresse in Block 712. In diesem Beispiel ist die Ressource nicht wirklich eine geschützte Ressource, man kann aber auf sie direkt über das Kundengerät zugreifen, indem die IP-Adresse benutzt wird, die man vom Authentifizierungsserver empfängt.
  • Auf Block 708 zurückgehend: wenn die IP Adresse nicht allgemein zugänglich ist, stellt der Authentifizierungsserver auf Block 714 Erreichbarkeitsinformationen fest. Wie oben beschrieben, können die Erreichbarkeitsinformationen einen Bastion Host, einen Port und ein Verbindungsverfahren identifizieren. Die Erreichbarkeitsinformationen werden dann benutzt, um einen Ressourceneintrag zu generieren, einschließlich zusätzlicher Daten, die die Erreichbarkeitsinformationen in Block 716 identifizieren. Wie oben angemerkt kann der Anteil an zusätzlichen Daten des Ressourcenverzeichnisses ebenfalls verschlüsselt werden. Danach werden der Ressourceneintrag und die identifizierte IP-Adresse zum Kundengerät in Block 718 übertragen.
  • Das Kundengerät erhält dann den Ressourceneintrag und die IP-Adresse in Block 720. Wenn die zusätzlichen Daten verschlüsselt wurden, kann das Kundengerät die zusätzlichen Daten auch entschlüsseln. Das Kundengerät überträgt eine Anfrage auf Zugang zur geschützten Ressource, basierend auf den Informationen des Ressourceneintrags in Block 722. Diese Anfrage wird dann vom Bastion Host empfangen (festgestellt im Ressourceneintrag) und in Block 724 bestätigt. Der Bastion Host und das Kundengerät stellen dann eine Tunnelverbindung in den Blöcken 726 und 728 her. Das Kundengerät benutzt dann die Tunnelverbindung, um auf die geschützte Ressource über die Tunnelverbindung zuzugreifen und der Bastion Host erlaubt den Zugriff auf die geschützte Ressource in den Blöcken 730 und 732.
  • In einer Ausführungsform kann ein privates Netzwerk von einem Benutzer, der ein Gerät im Innern benutzt, verlangen, auf eine öffentlich zugängliche Ressource zuzugreifen, z.B. eine Ressource auf einem öffentlichen Netzwerk wie das Internet. Die öffentliche Ressource kann auf dem öffentlichen Netzwerk entsprechend eins typischen oder normalen Anwendungsprotokolls zugänglich sein, das von den Geräten benutzt wird, die auf die öffentliche Ressource über das öffentliche Netzwerk zugreifen. In diesem Beispiel, gezeigt in 8, kann das Gerät 110P (ähnlich konfiguriert wie das Kundengerät 110) eine Anfrage 810 (ähnlich Anfrage 310) für die Netzwerkposition einer allgemeinen öffentlichen Ressource R-5 von einem lokalen DNS Server 120P (ähnlich konfiguriert wie der DNS-Server 120) übertragen. Da dieser DNS-Server für das Gerät innerhalb des privaten Netzwerks zugänglich wäre, kann der lokale DNS-Server innerhalb des privaten Netzwerkes lokalisiert werden.
  • In der Antwort kann der Server eine Netzwerkadresse identifizieren, wie oben beschrieben. Wenn die Netzwerkadresse sich in einem öffentlich zugänglichen Netzwerkraum außerhalb des privaten Netzwerks befindet (oder nicht im privaten Netzwerkraum RFC 1918), dann kann der Server ein Erreichbarkeitsverfahren identifizieren und wie oben beschrieben zusätzliche Daten generieren. Diese zusätzlichen Daten können einen Bastion Host identifizieren, wie Bastion Host 880 (ähnlich konfiguriert wie Bastion Host 180) durch den das Benutzergerät Zugriff auf die öffentliche Ressource erhält. Eine Antwort 820 (ähnlich wie Antwort 410) einschließlich einem DNS-Ressourceneintrag für Ressource R-5 sowie die zusätzlichen Daten können zu Gerät 110P übermittelt werden. Wie oben angemerkt, können die zusätzlichen Daten durch die DNS 120P auch verschlüsselt werden und durch das Kundengerät 110P entschlüsselt werden.
  • Das Benutzergerät kann dann eine Anfrage 830 an den Bastion Host 880 übermitteln, um auf die öffentliche Ressource R-5 zuzugreifen. Der Kunde kann zum Beispiel das Authentifizierungsverfahren verwenden, das in den zusätzlichen Daten identifiziert wird, um sich selbst für den Bastion Host wie oben beschrieben zu authentifizieren. Bastion Host 880 kann eine Tunnelverbindung 840 zwischen dem Bastion Host und dem Gerät 110P erstellen. Der Bastion Host kann auch auf die allgemeine Ressource zugreifen, entsprechend dem normalen Anwendungsprotokoll für die öffentliche Ressource. Das Kundengerät kann die Tunnelverbindung benutzen, um mit dem Bastion Host zu kommunizieren und auf die öffentliche Ressource zuzugreifen. In einem Beispiel kann die Tunnelverbindung zwischen dem Kundengerät und dem Bastion Host eine Gruppe oder Gruppen von eingekapselten Anwendungsprotokollpaketen sein. Diese Einkapselung kann durch den Bastion Host entfernt, entschlüsselt oder anders verarbeitet werden, um die Einkapselung zu entfernen, bevor die Pakete über das öffentliche Netzwerk zur öffentlichen Ressource geschickt werden, da die Einkapselung nicht im öffentlichen Netzwerk nicht erforderlich sein würde. Dies kann es dem Kundengerät ermöglichen auf die öffentliche Ressource zuzugreifen, wo das normale Anwendungsprotokoll für die öffentliche Ressource innerhalb des privaten Netzwerks nicht gestattet ist.
  • Diese Anordnung für den Zugriff auf die öffentlichen Ressourcen von einer privaten Netzwerkposition aus kann in verschiedenen Situationen nützlich sein. Es kann z.B. ein alternative Verfahren für die Bereitstellung von sofortigen Nachrichtenübermittlungen sein, wie z.B. dort wo sofortige Nachrichtenübermittlungen ein Login aufgrund von regulatorischen oder behördlichen Anforderungen erforderlich machen.
  • 9 ist ein Beispiel für ein Flussdiagramm, das einige der Eigenschaften des oben beschriebenen Prozesses zeigt. Zum Beispiel überträgt ein Kundengerät an einer Netzwerkposition, die mit privaten Netzwerk verbunden ist, eine Anfrage, einschließlich Informationen, die eine öffentliche Ressource in Block 902 identifizieren. Ein Authentifizierungsserver, auch an einer Netzwerkposition, die mit dem öffentlichen Netzwerk verbunden ist, empfängt und authentifiziert die Anfrage wie oben beschrieben. Der Authentifizierungsserver fragt dann eine Netzwerkadresssuchtabelle ab, um eine IP-Adresse der geschützten Ressource zu identifizieren, basierend auf den identifizierten Informationen der Anfrage in Block 908. Der Authentifizierungsserver bestimmt dann, ob die IP-Adresse eine Netzwerkposition bezeichnet, die sich innerhalb des privaten Netzwerks in Block 908 befindet. Wenn dem so ist, überträgt der Authentifizierungsserver die IP-Adresse zurück zum anfragenden Kundengerät in Block 910. Das Kundengerät erhält dann die IP- Adresse in Block 912. In diesem Beispiel ist die Ressource nicht wirklich eine geschützte Ressource, aber eine Ressource, die innerhalb des privaten Netzwerks für das Kundengerät zugänglich ist, indem man die IP-Adresse benutzt, die man vom Authentifizierungsserver empfängt.
  • Auf Block 908 zurückgehend: wenn die IP Adresse nicht innerhalb des privaten Netzwerks ist, stellt der Authentifizierungsserver auf Block 914 Erreichbarkeitsinformationen fest. Wie oben beschrieben, können die Erreichbarkeitsinformationen einen Bastion Host, einen Port und ein Verbindungsverfahren identifizieren. Die Erreichbarkeitsinformationen werden dann benutzt, um einen Ressourceneintrag zu generieren, einschließlich zusätzlicher Informationen, die die Erreichbarkeitsinformationen in Block 916 identifizieren. Wie oben angemerkt kann der Anteil an zusätzlichen Daten des Ressourcenverzeichnisses ebenfalls verschlüsselt werden. Danach werden das Ressourcenverzeichnis und die identifizierte IP-Adresse zum Kundengerät in Block 918 übertragen.
  • Das Kundengerät erhält dann das Ressourcenverzeichnis und die IP-Adresse in Block 920. Wenn die zusätzlichen Daten verschlüsselt sind, kann das Kundengerät die zusätzlichen Daten entschlüsseln. Das Kundengerät überträgt eine Anfrage auf Zugang zur geschützten Ressource, basierend auf den Informationen des Ressourceneintrags in Block 922. Diese Anfrage wird dann vom Bastion Host empfangen (identifiziert im Ressourceneintrag) und in Block 924 bestätigt. Der Bastion Host erstellt dann eine Tunnelverbindung mit dem Kundengerät und greift auf die öffentliche Ressource entsprechend dem Anwendungsprotokoll für die öffentliche Ressource in den Blöcken 926 und 928 zu. Das Kundengerät benutzt dann die Tunnelverbindung und den Bastion Host zu, um auf die geschützte Ressource über die Tunnelverbindung und den Bastion Host zuzugreifen, der den Zugriff auf die geschützte Ressource in den Blöcken 930 und 932 erlaubt.
  • Auch wenn diese und andere Variationen und Kombinationen der oben beschriebenen Merkmale verwendet werden können, ohne von dem in den Ansprüchen definierten Gegenstand abzuweichen, ist die vorstehende Beschreibung der Ausführungsformen nur als Veranschaulichung und nicht als Einschränkung des in den Ansprüchen definierten Gegenstands anzusehen. Es versteht sich weiterhin, dass die Angaben von Beispielen der Erfindung (wie auch von Formulierungen „so wie“ und „einschließlich“ u.ä.) nicht als Einschränkung der Erfindung auf die spezifischen Beispiele ausgelegt werden dürfen; die Beispiele dienen nur der Veranschaulichung einer von vielen Ausführungsformen. Ferner können dieselben Referenznummern in unterschiedlichen Zeichnungen dieselben oder ähnliche Elemente identifizieren.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • RFC 1918 [0037]
    • RFC 2845 [0041]
    • RFC 2845 [0044]
    • RFC 1918-Raums [0045]
    • RFC 1918 [0056]

Claims (4)

  1. Computer, umfassend: das Speichern von Netzwerkadressen von Ressourcen und damit verbundene Erreichbarkeitsinformationen; und einen Prozessor, der an den Speicher gekoppelt und für Folgendes konfiguriert ist: das Empfangen einer Anfrage von einem Kundengerät über ein zweites Netzwerk, die eine geschützte Ressource von einem ersten Netzwerk identifiziert; das Abfragen des Speichers, um eine Netzwerkadresse der geschützten Ressource zu identifizieren; das Festlegen, ob die geschützte Ressource allgemein zugänglich ist, basierend auf der identifizierten Netzwerkadresse, worin eine Ressource allgemein zugänglich ist, wenn sie sich nicht im gemeinsamen Raum befindet; wenn die geschützte Ressource nicht von der Speichererreichbarkeit der geschützten Ressource identifiziert wird; und das Generieren von zusätzlichen Informationen, basierend auf den Erreichbarkeitsinformationen und Übertragung von zusätzlichen Informationen und der Netzwerkadresse an das Kundengerät.
  2. Computer nach Anspruch 1, worin der Prozessor dafür konfiguriert ist, die zusätzlichen Informationen zu generieren, die einen Ressourceneintrag enthalten, der einen Computer, einen Port für den Computer und ein Verbindungsverfahren identifiziert.
  3. Computer nach Anspruch 2, worin das Verbindungsverfahren ein Verfahren identifiziert, das das Kundengerät nutzt, um auf die geschützte Ressource zuzugreifen.
  4. Computer nach Anspruch 1, worin der Prozessor des Weiteren dafür konfiguriert ist, vor Übertragung der zusätzlichen Informationen, zusätzliche Informationen zu verschlüsseln, um verschlüsselte, zusätzliche Informationen zu erhalten, und worin der Prozessor dafür konfiguriert ist, die zusätzlichen Informationen durch das Übertragen der verschlüsselten zusätzlichen Informationen zu übertragen.
DE202012013482.5U 2011-11-16 2012-11-15 Verteilung von Zugriffsinformationen auf Overlay-Netzwerken Expired - Lifetime DE202012013482U1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/297,626 US8862753B2 (en) 2011-11-16 2011-11-16 Distributing overlay network ingress information
US13/297,626 2011-11-16

Publications (1)

Publication Number Publication Date
DE202012013482U1 true DE202012013482U1 (de) 2017-02-16

Family

ID=48281711

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202012013482.5U Expired - Lifetime DE202012013482U1 (de) 2011-11-16 2012-11-15 Verteilung von Zugriffsinformationen auf Overlay-Netzwerken

Country Status (5)

Country Link
US (2) US8862753B2 (de)
EP (2) EP2781049B1 (de)
DE (1) DE202012013482U1 (de)
DK (2) DK3605948T3 (de)
WO (1) WO2013074724A1 (de)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180086286A (ko) * 2013-05-22 2018-07-30 콘비다 와이어리스, 엘엘씨 액세스 네트워크 지원형 부트스트랩핑
GB2514550A (en) * 2013-05-28 2014-12-03 Ibm System and method for providing access to a resource for a computer from within a restricted network and storage medium storing same
US10051066B1 (en) * 2013-11-06 2018-08-14 Google Llc Sharing panelist information without providing cookies
US9935918B2 (en) 2014-05-30 2018-04-03 Apple Inc. Cloud-based infrastructure for determining reachability of services provided by a server
US10298608B2 (en) 2015-02-11 2019-05-21 Honeywell International Inc. Apparatus and method for tying cyber-security risk analysis to common risk methodologies and risk levels
US9954840B2 (en) * 2015-05-08 2018-04-24 Cloudflare, Inc. Generating a negative answer to a domain name system query that indicates resource records as existing for the domain name regardless of whether those resource records actually exist for the domain name
US10033699B2 (en) 2015-05-08 2018-07-24 Cloudflare, Inc. Transparent DNSSEC-signing proxy
US10142126B2 (en) 2015-06-18 2018-11-27 Cisco Technology, Inc. Scalable dynamic overlay tunnel management
CN106776003A (zh) * 2016-11-18 2017-05-31 郑州云海信息技术有限公司 一种***资源分配方法及装置
US11362889B2 (en) * 2018-10-15 2022-06-14 Cdw Llc System and method for automated information technology services management
CN110049028B (zh) * 2019-04-03 2021-03-23 奇安信科技集团股份有限公司 监控域控管理员的方法、装置、计算机设备及存储介质
CN110890979B (zh) * 2019-11-14 2023-10-31 光通天下网络科技股份有限公司 堡垒机自动部署方法、装置、设备及介质
CN114615254B (zh) * 2022-03-25 2023-09-29 医渡云(北京)技术有限公司 远程连接方法、装置及***、存储介质、电子设备

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000132473A (ja) * 1998-10-23 2000-05-12 Oki Electric Ind Co Ltd ファイアウォール動的制御方式を用いたネットワークシステム
US6754831B2 (en) * 1998-12-01 2004-06-22 Sun Microsystems, Inc. Authenticated firewall tunneling framework
US20030167403A1 (en) * 1999-03-02 2003-09-04 Mccurley Kevin Snow Secure user-level tunnels on the internet
FR2793367B1 (fr) * 1999-05-03 2004-09-10 Jean Luc Stehle Dispositif d'authentification et de securisation pour un reseau informatique
US7836494B2 (en) * 1999-12-29 2010-11-16 Intel Corporation System and method for regulating the flow of information to or from an application
CA2300066A1 (en) * 2000-03-03 2001-09-03 Paul A. Ventura High speed, high security remote access system
US8332464B2 (en) * 2002-12-13 2012-12-11 Anxebusiness Corp. System and method for remote network access
ES2308048T3 (es) * 2003-08-29 2008-12-01 Nokia Corporation Cortafuegos personal remoto.
US8166538B2 (en) 2005-07-08 2012-04-24 Microsoft Corporation Unified architecture for remote network access
JP4648148B2 (ja) * 2005-09-30 2011-03-09 富士通株式会社 接続支援装置
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
US20080178278A1 (en) * 2007-01-22 2008-07-24 Doron Grinstein Providing A Generic Gateway For Accessing Protected Resources
US7840701B2 (en) * 2007-02-21 2010-11-23 Array Networks, Inc. Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method
US7975294B2 (en) 2007-11-19 2011-07-05 International Business Machines Corporation VPN management
CN101981887B (zh) 2008-01-26 2016-02-10 思杰***有限公司 用于配置和细粒度策略驱动web内容检测和重写的***和方法
WO2010037201A1 (en) 2008-09-30 2010-04-08 Wicksoft Corporation System and method for secure management of mobile user access to enterprise network resources
US20120084562A1 (en) * 2010-10-04 2012-04-05 Ralph Rabert Farina Methods and systems for updating a secure boot device using cryptographically secured communications across unsecured networks

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
RFC 1918
RFC 1918-Raums
RFC 2845

Also Published As

Publication number Publication date
EP3605948A2 (de) 2020-02-05
EP3605948B1 (de) 2021-03-24
EP2781049A1 (de) 2014-09-24
US20130124685A1 (en) 2013-05-16
EP2781049B1 (de) 2019-08-21
US20140137267A1 (en) 2014-05-15
EP3605948A3 (de) 2020-02-26
DK2781049T3 (da) 2019-09-16
US9225721B2 (en) 2015-12-29
US8862753B2 (en) 2014-10-14
WO2013074724A1 (en) 2013-05-23
EP2781049A4 (de) 2015-11-11
DK3605948T3 (da) 2021-05-25

Similar Documents

Publication Publication Date Title
DE202012013482U1 (de) Verteilung von Zugriffsinformationen auf Overlay-Netzwerken
DE112011101729B4 (de) Verwaltung von Ressourcenzugriff
EP3195556B1 (de) Verteilte datenspeicherung mittels berechtigungstoken
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE602005001613T2 (de) Einrichten eines sicheren kontexts zur übermittlung von nachrichten zwischen computersystemen
US10516532B2 (en) Session key repository
DE102009049674B4 (de) Segregieren von anonymem Zugriff auf dynamischen Inhalt auf einem Webserver mit gecachedten Anmeldungen
DE60130203T2 (de) Verfahren und sytem zur verwaltung von virtuellen addresen für virtuelle netze
DE102012213807A1 (de) Steuerung des Lightweight-Dokumentenzugriffs mithilfe von Zugriffskontrolllisten im Cloud-Speicher oder auf dem lokalen Dateisystem
DE112019004913T5 (de) Erfassen von unangemessener aktivität in anwesenheit von nicht authentifizierten api-anforderungen unter verwendung von künstlicher intelligenz
EP3314806B1 (de) Verschlüsselungsfilter
DE202014010930U1 (de) Zugriff auf Objekte in ausgelagerten Speichern
DE112012003977T5 (de) Eingriffsfreies Verfahren und Vorrichtung zum automatischen Zuteilen von Sicherheitsregelnin einer Cloud-Umgebung
DE102012203561A1 (de) Die Personifikation/Bevollmächtigung eines Benutzers in einem Merkmal-basierenden Authentifizierungssystem
DE112012002741T5 (de) Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform
DE112014000357T5 (de) Schlüsselverwaltung in mandantenfähigen Umgebungen
DE102012218576B4 (de) Verschlüsseln von Daten und Charakterisierungsdaten, die den gültigen Inhalt einer Spalte beschreiben
DE112017007393T5 (de) System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung
DE112012005564T5 (de) Sichere Peer-Ermittlung und Authentifizierung unter Verwendung eines gemeinsamen Geheimnisses
DE202012013453U1 (de) Gehostete Speichersperrung
DE112018001559T5 (de) Cachespeicherlose sitzungsticket-unterstützung bei tls-prüfung
DE112011102224B4 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
DE112022000856T5 (de) Vereinheitlichte richtliniendurchsetzungsverwaltung in der cloud
DE112021005862T5 (de) Selbstprüfende blockchain
DE112022000963T5 (de) Verbindungsbeständige mehrfaktorauthentifizierung

Legal Events

Date Code Title Description
R150 Utility model maintained after payment of first maintenance fee after three years
R207 Utility model specification
R081 Change of applicant/patentee

Owner name: GOOGLE LLC (N.D.GES.D. STAATES DELAWARE), MOUN, US

Free format text: FORMER OWNER: GOOGLE INC., MOUNTAIN VIEW, CALIF., US

R082 Change of representative

Representative=s name: MAIKOWSKI & NINNEMANN PATENTANWAELTE PARTNERSC, DE

R081 Change of applicant/patentee

Owner name: GOOGLE LLC (N.D.GES.D. STAATES DELAWARE), MOUN, US

Free format text: FORMER OWNER: GOOGLE LLC (N.D.GES.D. STAATES DELAWARE), MOUNTAIN VIEW, CALIF., US

R082 Change of representative

Representative=s name: MAIKOWSKI & NINNEMANN PATENTANWAELTE PARTNERSC, DE

R151 Utility model maintained after payment of second maintenance fee after six years
R152 Utility model maintained after payment of third maintenance fee after eight years
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0029060000

Ipc: H04L0065000000

R071 Expiry of right