DE202012013482U1 - Verteilung von Zugriffsinformationen auf Overlay-Netzwerken - Google Patents
Verteilung von Zugriffsinformationen auf Overlay-Netzwerken Download PDFInfo
- Publication number
- DE202012013482U1 DE202012013482U1 DE202012013482.5U DE202012013482U DE202012013482U1 DE 202012013482 U1 DE202012013482 U1 DE 202012013482U1 DE 202012013482 U DE202012013482 U DE 202012013482U DE 202012013482 U1 DE202012013482 U1 DE 202012013482U1
- Authority
- DE
- Germany
- Prior art keywords
- resource
- network
- information
- computer
- protected resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
das Speichern von Netzwerkadressen von Ressourcen und damit verbundene Erreichbarkeitsinformationen; und
einen Prozessor, der an den Speicher gekoppelt und für Folgendes konfiguriert ist:
das Empfangen einer Anfrage von einem Kundengerät über ein zweites Netzwerk, die eine geschützte Ressource von einem ersten Netzwerk identifiziert;
das Abfragen des Speichers, um eine Netzwerkadresse der geschützten Ressource zu identifizieren;
das Festlegen, ob die geschützte Ressource allgemein zugänglich ist, basierend auf der identifizierten Netzwerkadresse, worin eine Ressource allgemein zugänglich ist, wenn sie sich nicht im gemeinsamen Raum befindet;
wenn die geschützte Ressource nicht von der Speichererreichbarkeit der geschützten Ressource identifiziert wird; und
das Generieren von zusätzlichen Informationen, basierend auf den Erreichbarkeitsinformationen und Übertragung von zusätzlichen Informationen und der Netzwerkadresse an das Kundengerät.
Description
- HINTERGRUND DER ERFINDUNG
- Ein typisches virtuelles privates Netzwerk ("VPN") verbindet Kundengeräte mit einem bestimmten Tunnelendpunkt in einem privaten oder internen Netzwerk und liefert von diesem Endpunkt allgemeinen Zugriff auf die in dem Netzwerk verfügbaren Ressourcen. Zum Beispiel liefern VPN-Netzwerke typischerweise einen einzelnen Tunnelendpunkt pro Kundengerät. Dieser Endpunkt kann konfiguriert werden, wenn die VPN-Verbindung anfänglich geöffnet wird. Sobald der Tunnel zwischen dem internen Netzwerk und dem Kundengerät erfolgreich verbunden wurde, kann das Kundengerät auf die Ressourcen des internen Netzwerkes (Daten, Anwendungen, usw.) als eine interne Ansicht jedes aufgeteilten Split Domain Servers („DNS“) zugreifen.
- Diese VPN-Verbindungen können etwas dadurch begrenzt werden, dass sie es erforderlich machen, dass das VPN verbunden wird, bevor man auf die Ressourcen oder Daten zugreift, die innerhalb des internen Netzwerks gehostet werden. In einigen Beispielen kann der Benutzer auf verschiedene Störungen stoßen, wie z.B. wenn eine DNS-Name-Resolution zu einem negativen Ergebnis (NXDOMAIN) führt, weil der Name nicht auf der Seite der aufgeteilten DNS bekanntgegeben wird und die Anwendungsberichte 'Host nicht erreichbar' oder 'Service nicht verfügbar' melden. Dies kann auftreten, wo die DNS-Informationen zwischengespeichert werden, aber die Ressource nicht erreichbar ist, bevor das VPN aufrecht ist. Solche Störungen können häufig einen direkten Eingriff des Benutzers erforderlich machen. Zusätzlich kann das Konfigurationsverfahren die Granularität der Sicherheit auch erheblich begrenzen oder eine zusätzliche Konfiguration durch den Administrator des internen Netzwerkes erforderlich machen, um die Erreichbarkeit zu begrenzen, nachdem die Kundengeräte Informationen über den Tunnel gesendet und empfangen haben. In anderen Beispielen können diese Konfigurationen dort, wo diese zusätzlichen Konfigurationen erreicht wurden (z.B. durch die Zuweisung unterschiedlicher VPN-Benutzer an verschiedene VLANs) eher pro Kundengerät oder Benutzer sein anstatt für eine bestimmte Anwendung.
- KURZDARSTELLUNG
- Aspekte der Offenbarung beziehen sich im Allgemeinen auf die Verteilung von Netzwerkzugriffsinformationen. Genauer gesagt beschreibt ein Aspekt der Veröffentlichung ein computerimplementiertes Verfahren für den Zugriff auf eine geschützte Ressource eines ersten Netzwerks. Das Verfahren umfasst die Übertragung einer Anfrage, die die geschützte Ressource über ein geschütztes Netzwerk feststellt. Ein Ressourceneintrag wird von einem Authentifizierungsserver empfangen. Der Ressourceneintrag identifiziert einen Bastion Host, einen Port und ein Verbindungsverfahren. Eine Anfrage wird an den Port übertragen, basierend auf dem Verbindungsverfahren. Ein Prozessor baut eine Tunnelverbindung mit dem Bastion Host auf. Der Zugriff auf die geschützte Ressource erfolgt über die Tunnelverbindung und den Bastion Host.
- In einem Beispiel ist das erste Netzwerk ein privates Netzwerk und das zweite Netzwerk ein öffentliches Netzwerk. In einem anderen Beispiel ist der Authentifizierungsserver ein DNS-Server, der Netzwerkadressen als Antwort auf die Anfragen von Kundengeräten bietet. In einem anderen Beispiel wird auf die geschützte Ressource zugegriffen ohne den Zugriff auf eine andere Ressource des privaten Netzwerks zu gewähren. In einem anderen Beispiel umfasst das erste Netzwerk einen gemeinsamen Netzwerkraum.
- Ein anderer Aspekt der Offenbarung bietet ein computerimplementiertes Verfahren für die Bereitstellung eines Ressourceneintrags, um eine geschützte Ressource eines ersten Netzwerkes zu erreichen. Das Verfahren umfasst den Erhalt einer Anfrage, die die geschützte Ressource identifiziert, von einem Kundengerät über ein zweites Netzwerk aus. Der Speicher wird abgefragt, um eine Netzwerkadresse der geschützten Ressource zu identifizieren. Ein Prozessor bestimmt, ob die geschützte Ressource im Allgemeinen basierend auf der bezeichneten Netzwerkadresse zugänglich ist; zugänglich falls dies nicht der Fall ist, wobei eine Ressource im Allgemeinen im gemeinsamen Adressenraum ist. Wenn die geschützte Ressource allgemein nicht zugänglich ist, werden Erreichbarkeitsinformationen für die geschützte Ressource identifiziert. Zusätzliche Informationen werden basierend auf den Erreichbarkeitsinformationen generiert. Die zusätzlichen Informationen und die Netzwerkadresse werden an das Kundengerät übermittelt.
- In einem Beispiel umfassen die zusätzlichen Informationen einen Ressourceneintrag, der einen Computer, einen Port für den Computer und ein Verbindungsverfahren identifizieren. In diesem Beispiel identifiziert das Verbindungsverfahren ein Verfahren, das das Kundengerät benutzt, um auf die geschützte Ressource zuzugreifen.
- Ein zusätzlicher Aspekt der Offenbarung sieht ein computerimplementiertes Verfahren für den Zugriff auf eine öffentlich verfügbare Ressource eines ersten, öffentlichen Netzwerks vor. Das Verfahren umfasst die Übertragung einer Anfrage, die die öffentliche Ressource über ein zweites, privates Netzwerk identifiziert. Informationen, die einen Bastion Host, einen Port und ein Verbindungsverfahren identifizieren, werden von einem Authentifizierungsserver empfangen. Ein Prozessor generiert eine Anfrage, um auf die öffentliche Ressource basierend auf dem Verbindungsverfahren zuzugreifen. Die Anfrage wird an den Port übermittelt, um eine Tunnelverbindung zwischen dem Bastion Host und der öffentlichen Ressource herzustellen. Auf die öffentliche Ressource wird über die Tunnelverbindung und den Bastion Host zugegriffen. In einem Beispiel ist der Authentifizierungsserver ein DNS-Server, der Netzwerkadressen als Antwort auf die Anfragen des Kundengeräts in Verbindung mit Netzwerkstandorten innerhalb des ersten privaten Netzwerks liefert. In einem anderen Beispiel umfasst das zweite Netzwerk einen gemeinsamen Netzwerkraum. In einem anderen Beispiel umfasst das Verfahren vor der Übertragung der zusätzlichen Informationen die Verschlüsselung der zusätzlichen Informationen, um die verschlüsselten Informationen zu erhalten. Ferner umfasst darin die Übertragung der zusätzlichen Informationen die Übertragung der verschlüsselten Informationen.
- Noch weiterer Aspekt der Offenbarung sieht ein computerimplementiertes Verfahren für die Bereitstellung eines Ressourceneintrags für die Erzielung einer privaten Ressource eines ersten Netzwerks vor. Die Verfahren umfasst den Erhalt einer Anfrage, die die öffentliche Ressource identifiziert von einem Kundengerät über ein zweites Netzwerk. Der Speicher wird abgefragt, um eine Netzwerkadresse der geschützten Ressource zu identifizieren. Ein Prozessor bestimmt, ob die geschützte Ressource innerhalb des zweiten Netzwerks liegt, basierend auf der identifizierten Netzwerkadresse. Wenn die geschützte Ressource nicht innerhalb des zweiten Netzwerks ist, werden Erreichbarkeitsinformationen für die geschützte Ressource identifiziert. Zusätzliche Daten werden basierend auf den Erreichbarkeitsinformationen generiert. Die zusätzlichen Informationen und die Netzwerkadresse werden an das Kundengerät übertragen.
- In einem Beispiel umfassen die zusätzlichen Informationen einen Ressourceneintrag, der einen Computer, einen Port für den Computer und ein Verbindungsverfahren identifizieren. In einem anderen Beispiel identifiziert das Verbindungsverfahren ein Verfahren, das das Kundengerät benutzt, um auf die geschützte Ressource zuzugreifen. In einem anderen Beispiel ist erste Netzwerk ein privates Netzwerk und das zweite Netzwerk ein öffentliches Netzwerk.
- Ein noch weiterer Aspekt der Offenbarung sieht einen Computer vor. Der Computer umfasst Ressourcen und ein Speichernetzwerk in Verbindung mit den Erreichbarkeitsinformationen. Der Computer umfasst auch einen Prozessor, der mit dem Speicher gekoppelt ist. Der Prozessor ist konfiguriert, um über ein zweites Netzwerk von einem Kundengerät aus eine Anfrage zu erhalten, die eine geschützte Ressource eines ersten Netzwerkes identifiziert, nach dem Speicher anfragt, um eine Netzwerkadresse der geschützten Ressource zu identifizieren, er bestimmt ob die geschützte Ressource allgemein zugänglich ist basierend auf der identifizierten Netzwerkadresse, wobei eine Ressource generell zugänglich ist, wenn sie nicht im gemeinsamen Adressenraum ist; wenn die geschützte Ressource nicht generell zugänglich ist, identifizieren Sie vom Speicher aus Erreichbarkeitsinformationen für die geschützte Ressource; generieren Sie zusätzliche Informationen basierend auf den Erreichbarkeitsinformationen; und übermitteln Sie die zusätzlichen Informationen und die Netzwerkadresse an das Kundengerät.
- In einem Beispiel ist der Prozessor auch konfiguriert, um zusätzlichen Informationen zu generieren, die einen Ressourceneintrag enthalten, der einen Computer, einen Port für den Computer und ein Verbindungsverfahren identifiziert. In diesem Beispiel identifiziert das Verbindungsverfahren ein Verfahren, das das Kundengerät benutzt, um auf die geschützte Ressource zuzugreifen. In einem anderen Beispiel wird der Prozessor auch konfiguriert, bevor die zusätzlichen Informationen übermittelt werden, um zusätzliche Informationen zu verschlüsseln, um verschlüsselte, zusätzliche Informationen zu erhalten, und worin der Prozessor konfiguriert wird, um die zusätzlichen Informationen durch die Übertragung der verschlüsselten zusätzlichen Informationen zu übertragen.
- KURZBESCHREIBUNG DER ZEICHNUNGEN
-
1 ist ein funktionelles Diagramm eines Systems in Übereinstimmung mit Aspekten der Offenbarung. -
2 ist ein Piktogramm des Systems von1 . -
3 ist ein anderes Diagramm des Systems von1 . -
4 ist ein weiteres Diagramm des Systems von1 . -
5 ist noch ein weiteres Diagramm des Systems von1 . -
6 ist ein weiteres Diagramm des Systems von1 . -
7 ist ein Flussdiagramm in Übereinstimmung mit Aspekten der Offenbarung. -
8 ist ein weiteres Piktogramm eines Systems in Übereinstimmung mit Aspekten der Offenbarung. -
9 ist ein Flussdiagramm in Übereinstimmung mit Aspekten der Offenbarung. - AUSFÜHRLICHE BESCHREIBUNG
- In einem Beispiel kann ein Kundengerät eine Anfrage, die Informationen enthält, die eine geschützte Ressource identifizieren, übertragen. Ein Authentifizierungsserver kann dann die Anfrage empfangen und authentifizieren. Der Authentifizierungsserver fragt eine Netzwerkadresssuchtabelle ab, um einen Satz von einer oder mehreren Netzwerkadressen für die geschützte Ressource zu identifizieren, basierend auf den Feststellungsinformationen der Anfrage. Der Authentifizierungsserver kann bestimmen, ob der Satz von einer oder mehrerer Netzwerkadressen eine Netzwerkposition oder -positionen bezeichnet, die im Allgemeinen zugänglich sind. Für jede Adresse eines Satzes an einer oder mehreren Netzwerkadressen, die sonst allgemein nicht zugänglich ist, identifiziert der Authentifizierungsserver die Erreichbarkeitsinformationen, die einen Computer wie einen Bastion Host, einen Port und ein Verbindungsverfahren für den Zugriff auf die geschützte Ressource identifiziert. Die Erreichbarkeitsinformationen können benutzt werden, um einen Ressourceneintrag zu generieren. Der Ressourceneintrag oder -einträge und der Satz von einer oder mehrerer Netzwerkadressen können dann an das Kundengerät übertragen werden.
- Das Kundengerät kann den Ressourceneintrag oder -einträge und den Satz von einem oder mehreren Netzwerkadressen empfangen. Als Antwort kann das Kundengerät eine Anfrage auf Zugang zur geschützten Ressource übertragen, basierend auf den Informationen für jeden der Ressourceneinträge. Diese Anfragen können von anderen Computern wie z.B. Bastion Hosts (im Ressourceneintrag identifiziert) empfangen und verifiziert werden. Der Bastion Host und das Kundengerät erstellen dann eine Tunnelverbindung (oder je nachdem mehrere Tunnelverbindungen), und das Kundengerät kann die Tunnelverbindung dazu benutzen, auf die geschützte Ressource über den Bastion Host zuzugreifen.
- Wie in
1 –2 gezeigt, kann ein beispielhaftes System100 Computer110 ,120 ,130 und140 enthalten. Der Computer110 kann einen Prozessor112 , einen Speicher114 und andere Komponenten enthalten, die in der Regel in Allzweckcomputern vorhanden sind. Der Speicher114 des Computers110 kann Informationen speichern, die vom Prozessor112 abgerufen werden können, einschließlich Anweisungen116 , die durch den Prozessor112 ausgeführt werden können. - Der Speicher kann auch Daten
118 beinhalten, die durch Prozessor abgerufen, manipuliert oder gespeichert werden können. Der Speicher kann jeder beliebige Speichertyp sein, der vom Prozessor zugängliche Informationen speichern kann, wie Festplattenlaufwerke, Speicherkarten, ROM, RAM, DVD, CD-ROM, beschreibfähige und schreibgeschützte Speicher. - Die Anweisungen
116 können jeder beliebige Satz Anweisungen zur direkten (wie ein Maschinencode) oder indirekten (wie Scripts) Ausführung durch den Prozessor sein. Diesbezüglich können die Begriffe „Anweisungen“, „Anwendung“, „Schritte“ und „Programme“ hierin austauschbar verwendet werden. Die Anweisungen können im Objektcodeformat zur direkten Verarbeitung durch den Prozessor oder in jeder anderen Computersammlung von unabhängigen Sprachen einschließlich Scripts oder Sourcecodemodule, gespeichert werden, die auf Anfrage interpretiert oder im Voraus erstellt werden können. Funktionen, Verfahren und Routinen der Anweisungen werden unten ausführlicher erklärt. - Daten
118 können vom Prozessor112 gemäß den Anweisungen116 abgerufen, gespeichert oder bearbeitet werden. Obwohl, zum Beispiel, das System und die Verfahren nicht auf eine bestimmte Datenstruktur begrenzt sind, können die Daten in Computerregistern in einer relationalen Datenbank als eine Tabelle gespeichert werden, die über eine Vielzahl von unterschiedlichen Feldern und Datensätzen, XML Dokumenten oder unstrukturierten Dateien verfügt. Die Daten können auch in jedem beliebigen computerlesbaren Format formatiert sein, wie unter anderem binäre Werte, ASCII oder Unicode. Darüber hinaus können die Daten alle Informationen umfassen, die dazu dienen, die relevanten Informationen zu identifizieren, wie Zahlen, beschreibende Texte, proprietäre Codes, Zeiger, Verweise zu in anderen Speichern abgelegten Daten (einschließlich anderer Netzwerkstandorte) oder Informationen, die von einer Funktion zur Berechnung der relevanten Daten genutzt werden. - Der Prozessor
112 kann jeder herkömmliche Prozessor sein, wie im Handel erhältliche CPUs. Alternativ kann der Prozessor ein dediziertes Gerät wie ein ASIC oder ein anderer hardwarebasierter Prozessor sein. Obgleich1 funktionell den Prozessor, Speicher und andere Elemente des Computers110 als innerhalb des gleichen Blocks darstellt, werden durchschnittliche Fachleute verstehen, dass der Prozessor, Computer oder Speicher tatsächlich mehrere Prozessoren, Computer oder Speicher umfassen kann, die möglicherweise innerhalb des gleichen körperlichen Gehäuses gespeichert oder nicht gespeichert werden können. Der Speicher kann beispielsweise eine Festplatte oder anderes Speichermedium sein, das sich in einem Gehäuse befindet, das von dem des Computers110 abweicht. Demgemäß beinhalten Bezugnahmen auf einen Prozessor, Computer oder Speicher Bezugnahmen auf eine Sammlung von Prozessoren, Computer oder Speicher, die parallel betrieben werden können oder nicht. - Der Computer
110 kann an einem Knoten eines Netzwerks150 und imstande sein, direkt und indirekt mit anderen Knoten des Netzwerks zu kommunizieren. Zum Beispiel kann der Computer110 ein Kundengerät enthalten, das in der Lage ist mit anderen Geräten zu kommunizieren, wie z.B. einem Server120 und Bastion Hosts170 ,180 ,190 über das Netzwerk150 . In dieser Hinsicht können der Server120 und die Bastion Hosts170 ,180 ,190 Informationen an Kundengeräte110 ,130 und140 senden und in Formation von diesen erhalten. - Auch der Server
120 kann mehrere Computer, z.B. eine lastausgeglichene Serverfarm umfassen, die Informationen mit verschiedenen Knoten eines Netzwerks austauschen, um Daten von den Kundengeräten zu empfangen, zu verarbeiten und an sie zu senden. In diesem Fall werden sich die Kundengeräte typischerweise immer noch an verschiedenen Knoten des Netzwerks befinden als jeder der Computer, die den Server120 umfassen. - Jedes Kundengerät
130 ,140 kann vergleichbar zum Kundengerät110 konfiguriert werden, mit einem Prozessor, einem Speicher, Anweisungen und Daten (ähnlich dem Prozessor112 , Speicher114 , Anweisungen116 und Daten118 ). Jedes Kundengerät120 ,130 ,140 kann ein PC-Computer sein, das für die Nutzung durch eine Person210 – 12 bestimmt ist, mit allen Komponenten119 , die normalerweise in einem PC-Computer vorhanden sind, wie z.B. Zentraleinheit (CPU), Anzeigegerät (beispielsweise Monitor mit einem Bildschirm, Projektor mit Bildschirm, Projektor, ein Touchscreen, kleinen LCD-Bildschirm, einem Fernsehgerät oder einem anderen Gerät, wie z.B. einem elektrischen Gerät, das zur Anzeige der vom Prozessor verarbeiteten Informationen betriebsfähig ist), CD-ROM-Laufwerk, Festplattenlaufwerk, Benutzereingabeeinrichtung (beispielsweise eine Maus, Tastatur, Touchscreen oder Mikrofon), Lautsprecher, Modem und/oder Netzschnittstellengerät (Telefon, Kabel oder Sonstiges) sowie alle Komponenten, die zur Verbindung dieser Elemente untereinander erforderlich sind. Darüber hinaus können Computer gemäß den hierin beschriebenen Systemen und Verfahren alle Geräte umfassen, die in der Lage sind, Anweisungen zu verarbeiten und Daten an und von Personen und Computer zu übertragen, einschließlich Allzweckcomputer, PDA, Netzwerkcomputer ohne lokale Speicherkapazität und Settop-Boxen für Fernsehgeräte und andere vernetzte Geräte. - Obwohl die Computer
110 ,130 ,140 einen Fullsize-PC umfassen können, können das System und die Verfahren auch in Verbindung mit Mobilgeräten benutzt werden, die in der Lage sind, Daten kabellos mit einem Server über ein Netzwerk wie das Internet zu übertragen. Nur als Beispiel kann das Kundengerät140 ein zum kabellosen Gebrauch fähiges FDA, ein Navigationsgerät für die Hand oder für den Gebrauch im Auto, Tablett-PC, Netbook oder ein Mobiltelefon sein, die in der Lage sind, Informationen über das Internet zu erhalten. Der Benutzer kann zum Beispiel mittels einer kleinen Tastatur, eines Tastenfelds oder eines Touchscreens Informationen eingeben. - Vergleichbar mit den Kundengeräten
110 ,140 und130 , können Computer120 einen Server umfassen, einschließlich eines Prozessors122 , Speichers124 , Anweisungen116 , und Daten118 , wie oben beschrieben. Der Server120 kann Anträge für Information authentifizieren. Zum Beispiel kann der Authentifizierungsserver ein DNS-Server sein. In diesem Beispiel können Daten118 eine DNS- oder IP-Adressensuchtabelle mit Kartenverbindungen zwischen Domainnamen und IP-Adressen enthalten. In dieser Hinsicht, als Antwort auf den Erhalt einer Anfrage zur Identifizierung eines Domänennamens, z.B. „www.a.com“ von einem Kundengerät110 ,130 oder140 , kann DNS120 den anfragenden Knoten mit einem Satz von einem oder mehreren IP-Adressen versehen. Die IP Adressen und die Netzwerkadressen, die hierin verwendet werden, sind nicht auf spezifische IP-Adressfamilien (wie IPv4 oder IPv6) begrenzt und können mit verschiedenen Protokollen verwendet werden. Wie ausführlicher unten beschrieben, können Daten118 auch Informationen zur Erreichbarkeit enthalten, die benutzt werden, um zusätzliche Informationen zu generieren, die zu den Kundengeräten gesendet werden. - Bastion Hosts
170 ,180 , und190 können ähnlich wie DNS120 und Kundengeräte110 ,130 und140 konfiguriert werden. Zum Beispiel kann der Bastion Host180 einen Prozessor182 , Speicher184 , Anweisungen186 und Daten188 umfassen, wie oben beschrieben. Obwohl dieses nicht gezeigt, können Bastion Hosts170 und190 auch Zugang zu diesen Eigenschaften bereitstellen. Jeder Bastion Host kann eine oder mehrere Ressourcen R1–R4 sein. Wie in den1 und2 gezeigt, kann der Bastion Host170 mit der Ressource R-1, Bastion Host180 mit der Ressource R-2, und Bastion Host190 mit der Ressource R-3 R-4 verbunden werden. Wie nachfolgend im Detail beschrieben, können Daten118 des Bastion Host180 Prüfinformationen enthalten, die vom Bastion Host verwendet werden, um den Zugriff auf eine Ressource wie z.B. R1–R4, in Zusammenhang mit einem Netzwerk160 zu erlauben oder abzulehnen. - Jede der Ressourcen R1–R4 kann sich an einem anderen Knoten des Netzwerks
160 befinden. Zum Beispiel können die IP-Adresse und der Port für jede dieser Ressourcen eindeutig sein. Es ist verständlich, dass die gleiche IP-Adresse verschiedenen Ressourcen auf verschiedenen Ports dienen kann, und dass die Tunnelverbindungen, die diesen Ressourcen dienen, eindeutig sind. Damit ein Bastion Host eine eindeutige Tunnelverbindung zu verschiedenen Ressourcen erstellt, müssen die Ressourcen auf der Netzwerkebene unterscheidbar sein (hier durch Adresse und Port). - Ressourcen R1–R4 können verschiedene Computerprogramme, Anwendungen, Daten, usw. umfassen, die mit dem Netzwerk
160 verbunden werden. Zum Beispiel kann R1 eine Anwendung für die Modellierung von Finanzinformationen umfassen. R2 kann einen E-Mail-Server umfassen, bei dem auf ein oder mehr E-Mail-Konten zugegriffen werden kann. R3 kann ein Programm oder eine Anwendung zur Ansicht, Vorbereitung oder Bearbeitung von Dokumenten umfassen, während R4 einen Speicher zur Speicherung der zuvor genannten Dokumente enthalten kann. - Der DNS
120 , die Bastion Hosts190 ,180 und190 und die Kundengeräte110 ,130 ,140 sind in der Lage, direkt und indirekt zu kommunizieren, wie z.B. über Netzwerk150 . Jeder dieser Computer kann mit einer Netzwerkposition verbunden sein, die identifiziert ist, wie eine IP-Adresse für eine Netzwerkposition des Internets. Obwohl nur wenige Computer in den1 –2 dargestellt werden, sollte es klar sein, dass ein typisches System eine große Anzahl von angeschlossenen Computern beinhalten kann, wobei sich jeder dieser Computer an einem anderen Knoten des Netzwerks150 befindet. - Die Netzwerke
150 ,160 und die hier beschriebenen Knoten können mit verschiedenem Internetprotokollen und Systemen weltweit angeschlossen werden, so dass jedes ein Teil des Webs, spezifischen Intranets, der Fernnetzwerke oder der lokalen Netzwerke sein kann. Diese können Standardkommunikationsprotokolle verwenden oder solche, die einem oder mehreren Unternehmen gehören, Ethernet, Wi-Fi und HTTP und verschiedene Kombinationen des zuvor genannten verwenden. Zum Beispiel kann das Netzwerk160 ein privates Internet oder Intranet für ein Geschäft oder eine andere Einheit sein, während das Netzwerk150 ein öffentliches Netzwerk wie z.B. das Internet sein kann. Das private Netzwerk160 kann daher nicht generell über Computer oder Geräte des Netzwerks150 erreicht werden, da das private Netzwerk160 in einem gemeinsamen Adressbereich, wie in RFC 1918 beschrieben, oder auf eine andere Weise isoliert sein kann. - Obgleich gewisse Vorteile erzielt werden, wenn Informationen wie oben angegeben übertragen oder empfangen werden, sind andere Aspekte des Systems und des Verfahren nicht auf eine besondere Art und Weise der Informationsübertragung eingeschränkt. In manchen Aspekten können Informationen zum Beispiel über ein Medium wie eine Platte, ein Band oder CD-ROM gesendet werden. Jedoch weiterhin, obwohl einige Funktionen in der Weise dargestellt sind, dass sie auf einem einzelnen Computer mit einem einzigen Prozessor erfolgen, können verschiedene Aspekte des Systems und des Verfahrens durch mehrere Computer implementiert werden, z.B. indem Informationen über das Netzwerk
150 kommuniziert werden. - Zusätzlich zu den oben ausführlich beschriebenen Betrieben, die unten beschrieben werden und in den Figuren dargestellt werden, werden jetzt verschiedene Betriebe beschrieben. Es versteht sich, dass die folgenden Betriebe nicht exakt in der nachstehend beschriebenen genauen Reihenfolge durchgeführt werden müssen. Stattdessen können unterschiedliche Schritte in einer unterschiedlichen Reihenfolge oder gleichzeitig durchgeführt werden. Schritte können auch ausgelassen werden, sofern nicht anderweitig angegeben.
- Ein Benutzer kann auf eine Ressource zugreifen wollen, die von einem privaten Netzwerk betrieben wird. Zum Beispiel, wie in
3 gezeigt, kann ein Benutzer des Kundengeräts110 auf eine Ressource wie z.B. R2 des privaten Netzwerks160 zugreifen wollen (siehe1 und2 ). Obgleich die Ressourcen R1–R4 über das Netzwerk150 verfügbar sein können, können diese Ressourcen geschützte Ressourcen sein, dadurch dass nicht durch Benutzer des Kundengeräts auf sie zugegriffen wird oder sie nicht verwendet werden, bis das Kundengerät eine Tunnelverbindung mit dem entsprechenden Bastion Host wie unten beschrieben aufbaut. - Ein Kundengerät kann eine Anfrage für die Netzwerkposition einer Ressource generieren, die auf einem privaten Netzwerk gepflegt wird. Zum Beispiel kann ein DNS-Kunde, der in das Betriebssystem des Kundengeräts integriert ist, oder ein Browser, der vom Benutzer verwendet wird die Anfrage generieren. Die Anfrage kann entsprechend einem Authentifizierungsprotokoll, wie z.B. eine von Secret Key Transaction Authentication für DNS („TSIG“) unterzeichnete Anfrage für die A und AAAA-Einträge wie in RFC 2845 besprochen erzeugt werden.
- In einem Beispiel kann der Authentifizierungsserver eine Vielzahl von geographisch verteilten Servern enthalten. Zum Beispiel kann der Authentifizierungsserver, der die Anfrage empfängt, den Satz von einem oder mehreren Servern auswählen, um die Anfrage weiterzuleiten, basierend auf einer oder mehreren authentifizierten Identitäten, der IP-Adresse oder dem anfragenden Kundengerät, und der Ladung auf den Authentifizierungsservern.
- Die Anfrage kann Informationen beinhalten, die eine Ressource identifizieren und die die Netzwerkposition der Ressource anfragen. Zum Beispiel kann die Anfrage
310 wie in3 gezeigt, die Ressource R-2 als „resource_r2.internal.corp.example“ bezeichnen. Zum Beispiel kann das Kundengerät, falls die Anfrage durch Verwendung von dem DNS gesendet wird, die folgenden Elemente in einem DNS-Anfrage-Tupel verwenden: <Fragenname, Art, Server-IP-Adresse>. Im oben genannten Beispiel kann die Anfrage <; Ressource_r2.interne.corp.Beispiel, A, IN, IP-Adresse des DNS-Servers> umfassen, wobei A die Ressourceneintragsart einer IPv4-Adresse und IN die Internet-DNS-Klasse ist. - Obgleich keine Authentifizierung vorliegt, kann der Authentifizierungsserver die Anfrage erhalten und falls erforderlich authentifizieren. Zum Beispiel kann der DNS
120 konfiguriert werden, um Anfragen für Ressourcen bei internal.corp.Beispiel zu authentifizieren, indem das Verfahren benutzt wird, das in RFC 2845 beschrieben wird. - Der Authentifizierungsserver kann bestimmen, ob die in der Anfrage identifizierte Ressource innerhalb des Netzwerks liegt, das allgemein nicht erreichbar ist. Zum Beispiel kann der DNS
120 die Suchtabelle und die Ressource R-2 abfragen. Der Server kann eine IP-Adresse identifizieren und dann bestimmen, ob die Ressource allgemein erreichbar ist, zum Beispiel basierend darauf ob die identifizierte IP-Adresse innerhalb des RFC 1918-Raums liegt. In einem anderen Adressbeispiel kann die Erreichbarkeit in einer besonderen Suchtabelle integriert sein. Wenn die identifizierte Netzwerkposition allgemein erreichbar ist, kann der Authentifizierungsserver die identifizierte Netzwerkposition zum anfragenden Kundengerät übertragen und das Kundengerät kann diese Informationen benutzen, um auf die Ressource direkt zuzugreifen. - Wenn die identifizierte Netzwerkposition allgemein nicht erreichbar ist, kann der Authentifizierungsserver auch ein Erreichbarkeitsverfahren für die identifizierte Netzwerkposition identifizieren und zusätzliche Daten generieren (im Detail nachfolgend beschrieben), um diese zum Kundengerät zu übertragen. Zum Beispiel kann jede Netzwerkadresse, die nicht allgemein zugänglich ist, mit Erreichbarkeitsinformationen in Verbindung gebracht werden. Diese Erreichbarkeitsinformationen können z.B. in der allgemeinen DNS-Suchtabelle, einer zweiten Suchtabelle oder einem anderen Speicherort enthalten sein. Zum Beispiel kann die Ressource R-2 sich innerhalb eines privaten Netzwerks
160 befinden, das in einem gemeinsamen Netzwerkraum sein kann, wie oben beschrieben und dennoch nicht allgemein erreichbar sein kann. In diesem Beispiel kann der DNS120 ein Erreichbarkeitsverfahren basierend auf Informationen in Verbindung mit der Netzwerkposition der Ressource R-2 identifizieren. - Sobald die Netzwerkadresse und die Erreichbarkeitsverfahren gekennzeichnet sind, kann der Authentifizierungsserver zusätzliche Daten generieren. Zum Beispiel können die zusätzlichen Daten das Konnektivitätsverfahren für das Erreichen der Netzwerkadresse der Ressource definieren, die in der Anfrage identifiziert wird. Die zusätzlichen Daten können in einem Ressourceneintrag verpackt werden, wie z.B. einem Ressourceneintrag für den privaten Gebrauch, einem URI in einem URI-Ressourceneintrag oder einem anderen Ressourceneintrag das dem Zweck der Bereitstellung von zusätzlichen Daten gewidmet ist. Für einen typisches DNS-Ressourceneintrag können die Daten den Namen, die Art, die Klasse, TTL (Lebensdauer oder Zeitraum, für den die Informationen gültig sind), Ressourceneintragslänge, und Ressourceneintragsdaten enthalten. In einem Beispiel können die zusätzlichen Daten einem zusätzlichen Datenabschnitt der Antwort der Originalanfrage hinzugefügt werden, und können den DNS-Namen, den Port und ein Tunnelverbindungsverfahren für die Ressource enthalten. Die zusätzlichen Daten können auch unter Verwendung von verschiedenen Protokollen wie z.B. TSIG, Domain Name-Sicherheitssystemerweiterung, usw. oder einer Kombination solcher Protokolle gesichert werden.
- Der Authentifizierungsserver kann dann die identifizierten Netzwerkadressen wie auch die zusätzlichen Daten an das anfragende Kundengerät übertragen. Zum Beispiel können die Daten, die dem Kundengerät zur Verfügung gestellt werden, die ursprüngliche Anfrage, die Antwort und die zusätzlichen Daten enthalten. Wie in
4 gezeigt, kann der DNS120 Antwort410 zum Kundengerät110 übertragen. Antwort410 kann die ursprüngliche Anfrage310 , den Ressourcencode und zusätzliche Daten enthalten, die den Bastion Host180 , einen Port für den Bastion Host und ein Verbindungsverfahren enthalten. - Die durch Anweisungen identifizierte Verbindung für den Zugang zur Verfahrensressource kann in der Anfrage identifiziert beinhaltet sein. Zum Beispiel kann das Verbindungsverfahren Anweisungen umfassen, um Authentifizierungsinformationen darzustellen, wie ein Zertifikat, einen Schlüssel, ein Passwort oder andere Informationen für den identifizierten Port.
- Das Kundengerät kann die Antwort empfangen und die zusätzlichen Daten verwenden, um eine Verbindung aufzubauen. Wenn zum Beispiel die zusätzlichen Daten verschlüsselt worden sind, kann das Kundengerät die zusätzlichen Daten entschlüsseln, um auf die Informationen der zusätzlichen Daten, die den Bastion Host
180 identifizieren, den Port für den Bastion Host und das Verbindungsverfahren zuzugreifen. Wie in5 gezeigt, kann das Kundengerät110 dann anfragen, sich mit der Ressource R-2 über Bastion Host180 über das Verbindungsverfahren zu verbinden, das in der Antwort410 identifiziert wird. Der Bastion Host180 kann die auf dem Verbindungsverfahren basierende Anfrage, die von dem Kundengerät110 verwendet wird, verifizieren. Wenn die Anfrage nicht verifiziert wird, kann der Bastion Host180 dem Kundengerät den Zugriff auf die Ressource R-2 verweigern. Wenn die Anfrage verifiziert wird, kann der Bastion Host eine Verbindung510 zwischen dem Bastion Host und dem Kundengerät aufbauen. In einem Beispiel kann der Anschluss510 eine Tunnelverbindung durch das Netzwerk150 sein. - Sobald die Verbindung erfolgreich aufgebaut wurde, kann der Kunde die Verbindung benutzen, um auf die Ressource zuzugreifen. Der Kunde kann z.B. die Overlay-Netzwerkoberfläche des Tunnels benutzen, um eine Anwendungs-Schichtverbindung
610 zur Ressource R-2 nach Plan aufzubauen: //Ressource_R2. internal.corp.Beispiel, wie in6 gezeigt. -
7 ist ein Beispiel eines Flussdiagramms, das einige der Eigenschaften des oben beschriebenen Prozesses zeigt. Zum Beispiel überträgt ein Kundengerät eine Anfrage, die Informationen enthält, die eine geschützte Ressource in Block702 identifizieren. Ein Authentifizierungsserver empfängt und authentifiziert die Anfrage wie oben beschrieben. Der Authentifizierungsserver fragt dann eine Netzwerkadresssuchtabelle ab, um eine IP-Adresse der geschützten Ressource, basierend auf den identifizierenden Informationen der Anfrage in Block708 zu identifizieren. Der Authentifizierungsserver bestimmt dann, ob die IP-Adresse eine Netzwerkposition bezeichnet, die allgemein in Block708 zugänglich ist. Wenn dem so ist, überträgt der Authentifizierungsserver die IP-Adresse zurück zum anfragenden Kundengerät in Block710 . Das Kundengerät erhält dann die IP-Adresse in Block712 . In diesem Beispiel ist die Ressource nicht wirklich eine geschützte Ressource, man kann aber auf sie direkt über das Kundengerät zugreifen, indem die IP-Adresse benutzt wird, die man vom Authentifizierungsserver empfängt. - Auf Block
708 zurückgehend: wenn die IP Adresse nicht allgemein zugänglich ist, stellt der Authentifizierungsserver auf Block714 Erreichbarkeitsinformationen fest. Wie oben beschrieben, können die Erreichbarkeitsinformationen einen Bastion Host, einen Port und ein Verbindungsverfahren identifizieren. Die Erreichbarkeitsinformationen werden dann benutzt, um einen Ressourceneintrag zu generieren, einschließlich zusätzlicher Daten, die die Erreichbarkeitsinformationen in Block716 identifizieren. Wie oben angemerkt kann der Anteil an zusätzlichen Daten des Ressourcenverzeichnisses ebenfalls verschlüsselt werden. Danach werden der Ressourceneintrag und die identifizierte IP-Adresse zum Kundengerät in Block718 übertragen. - Das Kundengerät erhält dann den Ressourceneintrag und die IP-Adresse in Block
720 . Wenn die zusätzlichen Daten verschlüsselt wurden, kann das Kundengerät die zusätzlichen Daten auch entschlüsseln. Das Kundengerät überträgt eine Anfrage auf Zugang zur geschützten Ressource, basierend auf den Informationen des Ressourceneintrags in Block722 . Diese Anfrage wird dann vom Bastion Host empfangen (festgestellt im Ressourceneintrag) und in Block724 bestätigt. Der Bastion Host und das Kundengerät stellen dann eine Tunnelverbindung in den Blöcken726 und728 her. Das Kundengerät benutzt dann die Tunnelverbindung, um auf die geschützte Ressource über die Tunnelverbindung zuzugreifen und der Bastion Host erlaubt den Zugriff auf die geschützte Ressource in den Blöcken730 und732 . - In einer Ausführungsform kann ein privates Netzwerk von einem Benutzer, der ein Gerät im Innern benutzt, verlangen, auf eine öffentlich zugängliche Ressource zuzugreifen, z.B. eine Ressource auf einem öffentlichen Netzwerk wie das Internet. Die öffentliche Ressource kann auf dem öffentlichen Netzwerk entsprechend eins typischen oder normalen Anwendungsprotokolls zugänglich sein, das von den Geräten benutzt wird, die auf die öffentliche Ressource über das öffentliche Netzwerk zugreifen. In diesem Beispiel, gezeigt in
8 , kann das Gerät110P (ähnlich konfiguriert wie das Kundengerät110 ) eine Anfrage810 (ähnlich Anfrage310 ) für die Netzwerkposition einer allgemeinen öffentlichen Ressource R-5 von einem lokalen DNS Server120P (ähnlich konfiguriert wie der DNS-Server120 ) übertragen. Da dieser DNS-Server für das Gerät innerhalb des privaten Netzwerks zugänglich wäre, kann der lokale DNS-Server innerhalb des privaten Netzwerkes lokalisiert werden. - In der Antwort kann der Server eine Netzwerkadresse identifizieren, wie oben beschrieben. Wenn die Netzwerkadresse sich in einem öffentlich zugänglichen Netzwerkraum außerhalb des privaten Netzwerks befindet (oder nicht im privaten Netzwerkraum RFC 1918), dann kann der Server ein Erreichbarkeitsverfahren identifizieren und wie oben beschrieben zusätzliche Daten generieren. Diese zusätzlichen Daten können einen Bastion Host identifizieren, wie Bastion Host
880 (ähnlich konfiguriert wie Bastion Host180 ) durch den das Benutzergerät Zugriff auf die öffentliche Ressource erhält. Eine Antwort820 (ähnlich wie Antwort410 ) einschließlich einem DNS-Ressourceneintrag für Ressource R-5 sowie die zusätzlichen Daten können zu Gerät110P übermittelt werden. Wie oben angemerkt, können die zusätzlichen Daten durch die DNS120P auch verschlüsselt werden und durch das Kundengerät110P entschlüsselt werden. - Das Benutzergerät kann dann eine Anfrage
830 an den Bastion Host880 übermitteln, um auf die öffentliche Ressource R-5 zuzugreifen. Der Kunde kann zum Beispiel das Authentifizierungsverfahren verwenden, das in den zusätzlichen Daten identifiziert wird, um sich selbst für den Bastion Host wie oben beschrieben zu authentifizieren. Bastion Host880 kann eine Tunnelverbindung840 zwischen dem Bastion Host und dem Gerät110P erstellen. Der Bastion Host kann auch auf die allgemeine Ressource zugreifen, entsprechend dem normalen Anwendungsprotokoll für die öffentliche Ressource. Das Kundengerät kann die Tunnelverbindung benutzen, um mit dem Bastion Host zu kommunizieren und auf die öffentliche Ressource zuzugreifen. In einem Beispiel kann die Tunnelverbindung zwischen dem Kundengerät und dem Bastion Host eine Gruppe oder Gruppen von eingekapselten Anwendungsprotokollpaketen sein. Diese Einkapselung kann durch den Bastion Host entfernt, entschlüsselt oder anders verarbeitet werden, um die Einkapselung zu entfernen, bevor die Pakete über das öffentliche Netzwerk zur öffentlichen Ressource geschickt werden, da die Einkapselung nicht im öffentlichen Netzwerk nicht erforderlich sein würde. Dies kann es dem Kundengerät ermöglichen auf die öffentliche Ressource zuzugreifen, wo das normale Anwendungsprotokoll für die öffentliche Ressource innerhalb des privaten Netzwerks nicht gestattet ist. - Diese Anordnung für den Zugriff auf die öffentlichen Ressourcen von einer privaten Netzwerkposition aus kann in verschiedenen Situationen nützlich sein. Es kann z.B. ein alternative Verfahren für die Bereitstellung von sofortigen Nachrichtenübermittlungen sein, wie z.B. dort wo sofortige Nachrichtenübermittlungen ein Login aufgrund von regulatorischen oder behördlichen Anforderungen erforderlich machen.
-
9 ist ein Beispiel für ein Flussdiagramm, das einige der Eigenschaften des oben beschriebenen Prozesses zeigt. Zum Beispiel überträgt ein Kundengerät an einer Netzwerkposition, die mit privaten Netzwerk verbunden ist, eine Anfrage, einschließlich Informationen, die eine öffentliche Ressource in Block902 identifizieren. Ein Authentifizierungsserver, auch an einer Netzwerkposition, die mit dem öffentlichen Netzwerk verbunden ist, empfängt und authentifiziert die Anfrage wie oben beschrieben. Der Authentifizierungsserver fragt dann eine Netzwerkadresssuchtabelle ab, um eine IP-Adresse der geschützten Ressource zu identifizieren, basierend auf den identifizierten Informationen der Anfrage in Block908 . Der Authentifizierungsserver bestimmt dann, ob die IP-Adresse eine Netzwerkposition bezeichnet, die sich innerhalb des privaten Netzwerks in Block908 befindet. Wenn dem so ist, überträgt der Authentifizierungsserver die IP-Adresse zurück zum anfragenden Kundengerät in Block910 . Das Kundengerät erhält dann die IP- Adresse in Block912 . In diesem Beispiel ist die Ressource nicht wirklich eine geschützte Ressource, aber eine Ressource, die innerhalb des privaten Netzwerks für das Kundengerät zugänglich ist, indem man die IP-Adresse benutzt, die man vom Authentifizierungsserver empfängt. - Auf Block
908 zurückgehend: wenn die IP Adresse nicht innerhalb des privaten Netzwerks ist, stellt der Authentifizierungsserver auf Block914 Erreichbarkeitsinformationen fest. Wie oben beschrieben, können die Erreichbarkeitsinformationen einen Bastion Host, einen Port und ein Verbindungsverfahren identifizieren. Die Erreichbarkeitsinformationen werden dann benutzt, um einen Ressourceneintrag zu generieren, einschließlich zusätzlicher Informationen, die die Erreichbarkeitsinformationen in Block916 identifizieren. Wie oben angemerkt kann der Anteil an zusätzlichen Daten des Ressourcenverzeichnisses ebenfalls verschlüsselt werden. Danach werden das Ressourcenverzeichnis und die identifizierte IP-Adresse zum Kundengerät in Block918 übertragen. - Das Kundengerät erhält dann das Ressourcenverzeichnis und die IP-Adresse in Block
920 . Wenn die zusätzlichen Daten verschlüsselt sind, kann das Kundengerät die zusätzlichen Daten entschlüsseln. Das Kundengerät überträgt eine Anfrage auf Zugang zur geschützten Ressource, basierend auf den Informationen des Ressourceneintrags in Block922 . Diese Anfrage wird dann vom Bastion Host empfangen (identifiziert im Ressourceneintrag) und in Block924 bestätigt. Der Bastion Host erstellt dann eine Tunnelverbindung mit dem Kundengerät und greift auf die öffentliche Ressource entsprechend dem Anwendungsprotokoll für die öffentliche Ressource in den Blöcken926 und928 zu. Das Kundengerät benutzt dann die Tunnelverbindung und den Bastion Host zu, um auf die geschützte Ressource über die Tunnelverbindung und den Bastion Host zuzugreifen, der den Zugriff auf die geschützte Ressource in den Blöcken930 und932 erlaubt. - Auch wenn diese und andere Variationen und Kombinationen der oben beschriebenen Merkmale verwendet werden können, ohne von dem in den Ansprüchen definierten Gegenstand abzuweichen, ist die vorstehende Beschreibung der Ausführungsformen nur als Veranschaulichung und nicht als Einschränkung des in den Ansprüchen definierten Gegenstands anzusehen. Es versteht sich weiterhin, dass die Angaben von Beispielen der Erfindung (wie auch von Formulierungen „so wie“ und „einschließlich“ u.ä.) nicht als Einschränkung der Erfindung auf die spezifischen Beispiele ausgelegt werden dürfen; die Beispiele dienen nur der Veranschaulichung einer von vielen Ausführungsformen. Ferner können dieselben Referenznummern in unterschiedlichen Zeichnungen dieselben oder ähnliche Elemente identifizieren.
- ZITATE ENTHALTEN IN DER BESCHREIBUNG
- Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
- Zitierte Nicht-Patentliteratur
-
- RFC 1918 [0037]
- RFC 2845 [0041]
- RFC 2845 [0044]
- RFC 1918-Raums [0045]
- RFC 1918 [0056]
Claims (4)
- Computer, umfassend: das Speichern von Netzwerkadressen von Ressourcen und damit verbundene Erreichbarkeitsinformationen; und einen Prozessor, der an den Speicher gekoppelt und für Folgendes konfiguriert ist: das Empfangen einer Anfrage von einem Kundengerät über ein zweites Netzwerk, die eine geschützte Ressource von einem ersten Netzwerk identifiziert; das Abfragen des Speichers, um eine Netzwerkadresse der geschützten Ressource zu identifizieren; das Festlegen, ob die geschützte Ressource allgemein zugänglich ist, basierend auf der identifizierten Netzwerkadresse, worin eine Ressource allgemein zugänglich ist, wenn sie sich nicht im gemeinsamen Raum befindet; wenn die geschützte Ressource nicht von der Speichererreichbarkeit der geschützten Ressource identifiziert wird; und das Generieren von zusätzlichen Informationen, basierend auf den Erreichbarkeitsinformationen und Übertragung von zusätzlichen Informationen und der Netzwerkadresse an das Kundengerät.
- Computer nach Anspruch 1, worin der Prozessor dafür konfiguriert ist, die zusätzlichen Informationen zu generieren, die einen Ressourceneintrag enthalten, der einen Computer, einen Port für den Computer und ein Verbindungsverfahren identifiziert.
- Computer nach Anspruch 2, worin das Verbindungsverfahren ein Verfahren identifiziert, das das Kundengerät nutzt, um auf die geschützte Ressource zuzugreifen.
- Computer nach Anspruch 1, worin der Prozessor des Weiteren dafür konfiguriert ist, vor Übertragung der zusätzlichen Informationen, zusätzliche Informationen zu verschlüsseln, um verschlüsselte, zusätzliche Informationen zu erhalten, und worin der Prozessor dafür konfiguriert ist, die zusätzlichen Informationen durch das Übertragen der verschlüsselten zusätzlichen Informationen zu übertragen.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/297,626 US8862753B2 (en) | 2011-11-16 | 2011-11-16 | Distributing overlay network ingress information |
US13/297,626 | 2011-11-16 |
Publications (1)
Publication Number | Publication Date |
---|---|
DE202012013482U1 true DE202012013482U1 (de) | 2017-02-16 |
Family
ID=48281711
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE202012013482.5U Expired - Lifetime DE202012013482U1 (de) | 2011-11-16 | 2012-11-15 | Verteilung von Zugriffsinformationen auf Overlay-Netzwerken |
Country Status (5)
Country | Link |
---|---|
US (2) | US8862753B2 (de) |
EP (2) | EP2781049B1 (de) |
DE (1) | DE202012013482U1 (de) |
DK (2) | DK3605948T3 (de) |
WO (1) | WO2013074724A1 (de) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180086286A (ko) * | 2013-05-22 | 2018-07-30 | 콘비다 와이어리스, 엘엘씨 | 액세스 네트워크 지원형 부트스트랩핑 |
GB2514550A (en) * | 2013-05-28 | 2014-12-03 | Ibm | System and method for providing access to a resource for a computer from within a restricted network and storage medium storing same |
US10051066B1 (en) * | 2013-11-06 | 2018-08-14 | Google Llc | Sharing panelist information without providing cookies |
US9935918B2 (en) | 2014-05-30 | 2018-04-03 | Apple Inc. | Cloud-based infrastructure for determining reachability of services provided by a server |
US10298608B2 (en) | 2015-02-11 | 2019-05-21 | Honeywell International Inc. | Apparatus and method for tying cyber-security risk analysis to common risk methodologies and risk levels |
US9954840B2 (en) * | 2015-05-08 | 2018-04-24 | Cloudflare, Inc. | Generating a negative answer to a domain name system query that indicates resource records as existing for the domain name regardless of whether those resource records actually exist for the domain name |
US10033699B2 (en) | 2015-05-08 | 2018-07-24 | Cloudflare, Inc. | Transparent DNSSEC-signing proxy |
US10142126B2 (en) | 2015-06-18 | 2018-11-27 | Cisco Technology, Inc. | Scalable dynamic overlay tunnel management |
CN106776003A (zh) * | 2016-11-18 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种***资源分配方法及装置 |
US11362889B2 (en) * | 2018-10-15 | 2022-06-14 | Cdw Llc | System and method for automated information technology services management |
CN110049028B (zh) * | 2019-04-03 | 2021-03-23 | 奇安信科技集团股份有限公司 | 监控域控管理员的方法、装置、计算机设备及存储介质 |
CN110890979B (zh) * | 2019-11-14 | 2023-10-31 | 光通天下网络科技股份有限公司 | 堡垒机自动部署方法、装置、设备及介质 |
CN114615254B (zh) * | 2022-03-25 | 2023-09-29 | 医渡云(北京)技术有限公司 | 远程连接方法、装置及***、存储介质、电子设备 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000132473A (ja) * | 1998-10-23 | 2000-05-12 | Oki Electric Ind Co Ltd | ファイアウォール動的制御方式を用いたネットワークシステム |
US6754831B2 (en) * | 1998-12-01 | 2004-06-22 | Sun Microsystems, Inc. | Authenticated firewall tunneling framework |
US20030167403A1 (en) * | 1999-03-02 | 2003-09-04 | Mccurley Kevin Snow | Secure user-level tunnels on the internet |
FR2793367B1 (fr) * | 1999-05-03 | 2004-09-10 | Jean Luc Stehle | Dispositif d'authentification et de securisation pour un reseau informatique |
US7836494B2 (en) * | 1999-12-29 | 2010-11-16 | Intel Corporation | System and method for regulating the flow of information to or from an application |
CA2300066A1 (en) * | 2000-03-03 | 2001-09-03 | Paul A. Ventura | High speed, high security remote access system |
US8332464B2 (en) * | 2002-12-13 | 2012-12-11 | Anxebusiness Corp. | System and method for remote network access |
ES2308048T3 (es) * | 2003-08-29 | 2008-12-01 | Nokia Corporation | Cortafuegos personal remoto. |
US8166538B2 (en) | 2005-07-08 | 2012-04-24 | Microsoft Corporation | Unified architecture for remote network access |
JP4648148B2 (ja) * | 2005-09-30 | 2011-03-09 | 富士通株式会社 | 接続支援装置 |
US7890612B2 (en) * | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
US20080178278A1 (en) * | 2007-01-22 | 2008-07-24 | Doron Grinstein | Providing A Generic Gateway For Accessing Protected Resources |
US7840701B2 (en) * | 2007-02-21 | 2010-11-23 | Array Networks, Inc. | Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method |
US7975294B2 (en) | 2007-11-19 | 2011-07-05 | International Business Machines Corporation | VPN management |
CN101981887B (zh) | 2008-01-26 | 2016-02-10 | 思杰***有限公司 | 用于配置和细粒度策略驱动web内容检测和重写的***和方法 |
WO2010037201A1 (en) | 2008-09-30 | 2010-04-08 | Wicksoft Corporation | System and method for secure management of mobile user access to enterprise network resources |
US20120084562A1 (en) * | 2010-10-04 | 2012-04-05 | Ralph Rabert Farina | Methods and systems for updating a secure boot device using cryptographically secured communications across unsecured networks |
-
2011
- 2011-11-16 US US13/297,626 patent/US8862753B2/en active Active
-
2012
- 2012-11-15 DK DK19192172.5T patent/DK3605948T3/da active
- 2012-11-15 EP EP12849659.3A patent/EP2781049B1/de active Active
- 2012-11-15 DK DK12849659.3T patent/DK2781049T3/da active
- 2012-11-15 WO PCT/US2012/065163 patent/WO2013074724A1/en active Application Filing
- 2012-11-15 EP EP19192172.5A patent/EP3605948B1/de active Active
- 2012-11-15 DE DE202012013482.5U patent/DE202012013482U1/de not_active Expired - Lifetime
-
2014
- 2014-01-22 US US14/161,236 patent/US9225721B2/en active Active
Non-Patent Citations (3)
Title |
---|
RFC 1918 |
RFC 1918-Raums |
RFC 2845 |
Also Published As
Publication number | Publication date |
---|---|
EP3605948A2 (de) | 2020-02-05 |
EP3605948B1 (de) | 2021-03-24 |
EP2781049A1 (de) | 2014-09-24 |
US20130124685A1 (en) | 2013-05-16 |
EP2781049B1 (de) | 2019-08-21 |
US20140137267A1 (en) | 2014-05-15 |
EP3605948A3 (de) | 2020-02-26 |
DK2781049T3 (da) | 2019-09-16 |
US9225721B2 (en) | 2015-12-29 |
US8862753B2 (en) | 2014-10-14 |
WO2013074724A1 (en) | 2013-05-23 |
EP2781049A4 (de) | 2015-11-11 |
DK3605948T3 (da) | 2021-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE202012013482U1 (de) | Verteilung von Zugriffsinformationen auf Overlay-Netzwerken | |
DE112011101729B4 (de) | Verwaltung von Ressourcenzugriff | |
EP3195556B1 (de) | Verteilte datenspeicherung mittels berechtigungstoken | |
DE60019997T2 (de) | Ggesicherte Kommunikation mit mobilen Rechnern | |
DE602005001613T2 (de) | Einrichten eines sicheren kontexts zur übermittlung von nachrichten zwischen computersystemen | |
US10516532B2 (en) | Session key repository | |
DE102009049674B4 (de) | Segregieren von anonymem Zugriff auf dynamischen Inhalt auf einem Webserver mit gecachedten Anmeldungen | |
DE60130203T2 (de) | Verfahren und sytem zur verwaltung von virtuellen addresen für virtuelle netze | |
DE102012213807A1 (de) | Steuerung des Lightweight-Dokumentenzugriffs mithilfe von Zugriffskontrolllisten im Cloud-Speicher oder auf dem lokalen Dateisystem | |
DE112019004913T5 (de) | Erfassen von unangemessener aktivität in anwesenheit von nicht authentifizierten api-anforderungen unter verwendung von künstlicher intelligenz | |
EP3314806B1 (de) | Verschlüsselungsfilter | |
DE202014010930U1 (de) | Zugriff auf Objekte in ausgelagerten Speichern | |
DE112012003977T5 (de) | Eingriffsfreies Verfahren und Vorrichtung zum automatischen Zuteilen von Sicherheitsregelnin einer Cloud-Umgebung | |
DE102012203561A1 (de) | Die Personifikation/Bevollmächtigung eines Benutzers in einem Merkmal-basierenden Authentifizierungssystem | |
DE112012002741T5 (de) | Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform | |
DE112014000357T5 (de) | Schlüsselverwaltung in mandantenfähigen Umgebungen | |
DE102012218576B4 (de) | Verschlüsseln von Daten und Charakterisierungsdaten, die den gültigen Inhalt einer Spalte beschreiben | |
DE112017007393T5 (de) | System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung | |
DE112012005564T5 (de) | Sichere Peer-Ermittlung und Authentifizierung unter Verwendung eines gemeinsamen Geheimnisses | |
DE202012013453U1 (de) | Gehostete Speichersperrung | |
DE112018001559T5 (de) | Cachespeicherlose sitzungsticket-unterstützung bei tls-prüfung | |
DE112011102224B4 (de) | Identitätsvermittlung zwischen Client- und Server-Anwendungen | |
DE112022000856T5 (de) | Vereinheitlichte richtliniendurchsetzungsverwaltung in der cloud | |
DE112021005862T5 (de) | Selbstprüfende blockchain | |
DE112022000963T5 (de) | Verbindungsbeständige mehrfaktorauthentifizierung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R150 | Utility model maintained after payment of first maintenance fee after three years | ||
R207 | Utility model specification | ||
R081 | Change of applicant/patentee |
Owner name: GOOGLE LLC (N.D.GES.D. STAATES DELAWARE), MOUN, US Free format text: FORMER OWNER: GOOGLE INC., MOUNTAIN VIEW, CALIF., US |
|
R082 | Change of representative |
Representative=s name: MAIKOWSKI & NINNEMANN PATENTANWAELTE PARTNERSC, DE |
|
R081 | Change of applicant/patentee |
Owner name: GOOGLE LLC (N.D.GES.D. STAATES DELAWARE), MOUN, US Free format text: FORMER OWNER: GOOGLE LLC (N.D.GES.D. STAATES DELAWARE), MOUNTAIN VIEW, CALIF., US |
|
R082 | Change of representative |
Representative=s name: MAIKOWSKI & NINNEMANN PATENTANWAELTE PARTNERSC, DE |
|
R151 | Utility model maintained after payment of second maintenance fee after six years | ||
R152 | Utility model maintained after payment of third maintenance fee after eight years | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0029060000 Ipc: H04L0065000000 |
|
R071 | Expiry of right |