JP2009500968A - リモートネットワークアクセスのための統合アーキテクチャ - Google Patents
リモートネットワークアクセスのための統合アーキテクチャ Download PDFInfo
- Publication number
- JP2009500968A JP2009500968A JP2008520449A JP2008520449A JP2009500968A JP 2009500968 A JP2009500968 A JP 2009500968A JP 2008520449 A JP2008520449 A JP 2008520449A JP 2008520449 A JP2008520449 A JP 2008520449A JP 2009500968 A JP2009500968 A JP 2009500968A
- Authority
- JP
- Japan
- Prior art keywords
- network
- request
- network resource
- client device
- gateway system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1044—Group management mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1044—Group management mechanisms
- H04L67/1051—Group master selection mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【解決手段】
ネットワークへのリモートアクセスを可能にするための統合アーキテクチャを提供する。ネットワークは、例として仮想プライベートネットワーク(VPN)及び/又はピアツーピアネットワークを含み得る。一実施形態において、本アーキテクチャは、クライアント装置/ノード及びゲートウェイ/スーパーノード上にインストールされるコンポーネントを含む。クライアント装置上に実装されるコンポーネントは、従来のVPNのものと同様の方法でアクセスを容易にすることができ、一方、ゲートウェイ上のコンポーネントは、アプリケーションプロキシと同様の方法でアクセスを容易にすることができる。クライアント装置とゲートウェイとの間の通信は、例としてセキュアソケットレイヤ(SSL)通信プロトコルを介し発生し得る。
【選択図】 図1
ネットワークへのリモートアクセスを可能にするための統合アーキテクチャを提供する。ネットワークは、例として仮想プライベートネットワーク(VPN)及び/又はピアツーピアネットワークを含み得る。一実施形態において、本アーキテクチャは、クライアント装置/ノード及びゲートウェイ/スーパーノード上にインストールされるコンポーネントを含む。クライアント装置上に実装されるコンポーネントは、従来のVPNのものと同様の方法でアクセスを容易にすることができ、一方、ゲートウェイ上のコンポーネントは、アプリケーションプロキシと同様の方法でアクセスを容易にすることができる。クライアント装置とゲートウェイとの間の通信は、例としてセキュアソケットレイヤ(SSL)通信プロトコルを介し発生し得る。
【選択図】 図1
Description
本発明は一般に、通信ネットワーク、さらに具体的には、通信ネットワークへのリモートアクセスを可能にするコンポーネントに関する。
仮想プライベートネットワーク(VPN)は、少なくとも一部がインターネットのような公共のネットワークインフラストラクチャ上で、通信を伝送する私設通信網である。VPN(複数)は、会社のネットワークとユーザが接続できる地理的な領域を拡大し、リモートユーザに対する輸送時間及び輸送コストを削減し、作業者の生産性を改善し得るので、会社内又は会社間の通信用に広く使用される。
いくつかのVPNと接続するためにユーザは、彼又は彼女のクライアント装置(例えば、パーソナルコンピュータ、携帯情報端末又は他の装置)上にある、接続を確立するための1つ以上のソフトウェアコンポーネント(例えば、VPNクライアントアプリケーション)を呼び出す。ソフトウェアコンポーネント(単数又は複数)を呼び出すことによって、クライアント装置は一般に、ソフトウェアコンポーネント(単数又は複数)によって提供される情報に基づいた、ユーザのアクセス信用証明を検証するVPN上のネットワークアクセスゲートウェイと通信できる。一旦、認証が生じると、クライアント装置上で動作するアプリケーションは通常、必要に応じてネットワーク上のリソースにアクセスできる。ネットワーク資源は、例えばウェブページ、データ構造(例えばファイル)又は電子メールサーバを含み得る。クライアント装置上のアプリケーションが、ネットワーク資源へのアクセスをリクエストするたびに、ゲートウェイは接続を容易にする。この構成は一般に、「従来のVPN」モデルとして知られている。
他のVPN(複数)と共に、経済的及び/又はセキュリティの懸念によって別のアクセス技法が生じた。例えば、VPNへのリモートユーザーアクセスを確立するための最近の移り変わりは、セキュアソケットレイヤ(SSL)技術を伴うアプリケーションプロキシを使用する方向に向かっている。簡潔に言うと、アプリケーションプロキシを使用する構成においてクライアントアプリケーションがネットワーク上のリソースにアクセスし得る前にユーザは、VPNへのアクセスポイントとして指定されるウェブページへナビゲートするためのクライアント装置上で動作するブラウザアプリケーションを使用する。VPNへのアクセスを取得するために、ユーザはブラウザアプリケーションを介しログイン信用証明を供給できる。認証時、クライアント装置上で動作する別のアプリケーションは、ユーザが再度ログイン信用証明を与えることなく、ネットワーク資源にアクセスできる。この構成は一般に、「アプリケーションプロキシ」モデルとして知られている。
アプリケーションプロキシモデルに向かう移り変わりに関する1つの理由は、VPNへの自動認証が可能なソフトウェアコンポーネントをクライアント装置すべてにインストールし、維持する必要がないので、企業による展開がそれほど高価でないことによる。別の理由は、悪意ある集団が法人のVPNを攻撃するために、クライアント装置を使用することがより困難になり得るように、アクセスポイントにおいて受信された通信が、従来のVPN構成におけるよりもさらに厳密に監視され得るという点において、アプリケーションプロキシモデルが、さらなるセキュリティの利点を提供することによる。
VPNへのリモートユーザーアクセスを可能にするために、アプリケーションプロキシモデルを使用することに関連する1つの欠点は一般に、クライアントの認証時、クライアントアプリケーションプログラムが自動的にネットワーク資源にアクセスできる前にクライアント装置上のアプリケーションプログラム及び多くの場合において、それらのサーバ側の対応部を変更する必要があることであると出願人は理解している。アプリケーションプロキシモデルを介し従業員へリモートネットワークアクセスを提供する企業に対して、これらの修正は例としても重大なる挑戦を提示し得、それはこれらの企業の多くが、そのユーザコミュニティそれぞれを横断し使用中である何千ものアプリケーションを有するからである。例えば、修正を要求するアプリケーションプログラムそれぞれについて、必要な修正をリクエストするためにアプリケーションプログラムの業者と相談し、修正を実装し、それらをユーザコミュニティに展開することが要求され得る。この処理は、非常に高価で手間がかかる場合がある。そのうえ、いくつかのアプリケーションプログラムに対して必要な修正を実施するためには技術上大きな障害があり得る。
これは従来のVPNモデルと対照的であり、そこではクライアント装置上で動作するアプリケーションは通常、認証時に修正なしにネットワーク資源に継ぎ目なくアクセスできる。しかし、前述のように従来のVPNモデルは、ユーザそれぞれの個人の認証のために、クライアント装置上にソフトウェアコンポーネントのインストールを要求され得るので、展開するには高価となり得る。従来のVPNモデルはまた、より少ないアプリケーション特有のセキュリティ機能も提供できる。
これら競合する懸念のバランスをとるために多くの企業は、リモートネットワークアクセスのために、アプリケーションプロキシモデルを使用するが、クライアント装置上で動作するアプリケーションのうちサブセットだけをネットワーク資源にアクセスさせる。このように企業の多くは、ユーザの中には特定の(例えば、ネットワークアクセスを要求する)アプリケーションによって提供されるいくつかの機能を使用できないことがあり得るという知識を持ってアプリケーションプロキシモデルを使用する。この構成はあまり最適でない。
したがって、本発明の一実施形態は、クライアント装置上で動作するアプリケーションに変更を要求せずに、アプリケーションプロキシモデルのセキュリティの利点及び従来のVPNモデルに関連するネットワーク資源へ継ぎ目のないアプリケーションアクセスを提供する方法によってリモートネットワークアクセスを容易にするためのアーキテクチャを提供する。
一実施形態においては、本アーキテクチャは、ネットワーク上のクライアントを認証するために、クライアント装置及びネットワークアクセスゲートウェイ双方においてインストールされるソフトウェアを基本とするコンポーネントを含む。一実施形態においては、クライアント上のコンポーネントは、クライアントネットワークアクセスマネージャ(CNAM)を含み、所定のイベント(例えば、アプリケーションによるネットワーク名を解決するための試み)の発生のときに、ネットワーク接続を確立するために、ゲートウェイを介し自動的に通信を開始し、認証を容易にできる。一実施形態においては、クライアント装置上のCNAMの存在によって、他のクライアントアプリケーションを変更することが不要になり、その結果、従来のVPNモデルと同様の使いやすさ及び機能性を提供する。一実施形態においては、本アーキテクチャはまた、ネットワークアクセスゲートウェイにおいてインストールされるコンポーネントを含み、アプリケーションプロキシモデルに関連する通常のセキュリティの利点の多くを提供する。
本発明の実施形態は、VPNへのリモートアクセスを容易にするために有用であり得るが、この点において本発明を限定しない。例えば、本アーキテクチャは、いくつかの適切なタイプの私設又は準私設のネットワークへのアクセスを容易にするためにも使用することができる。例として、ピアツーピアネットワークへのアクセスを可能にするために、本アーキテクチャを展開できる。ピアツーピア通信を管理するためのコンポーネントを提供でき、それらに割り当てられる帯域幅を規制し、及び/又は、その上にセキュリティポリシーを課すコンポーネントがあり得る。
添付の図面は一定の比率で描くことを意図しない。図面においては、様々な図面に例示される同一又はほとんど同一のコンポーネントそれぞれが、同一の番号によって表される。明確にする目的のため、図面すべてにおいて、コンポーネントすべてに必ずしもラベル付けしない。
VPNへのリモートアクセスを容易にするために使用される本発明の例示的な一実施形態を図1に示す。示される実施形態は、クライアント装置(100)及びネットワークアクセスゲートウェイ(150)上に存在するアーキテクチャのコンポーネントを含む。また図1に示されるものは、これらのコンポーネントを介しクライアント装置(100)にアクセスされ得るネットワーク資源(170)である。一実施形態において、示されるコンポーネントそれぞれは、ソフトウェアを介し実装される。しかし、これらのコンポーネントのいずれか又はすべては、ハードウェアを介したもの含み、任意の適切な方法で実装され得るので、本発明はこの点において限定されない。
ネットワーク上のリソース(170A)にアクセスするクライアントアプリケーションの処理を説明することによって、図1に表示されるコンポーネントの機能を例示できる。この処理の開始時、ユーザは、クライアント装置(100)上のアプリケーション(105)を使用(例えば入力を提供)できる。一実施形態においては、アプリケーション(105)は、電子メールアプリケーション(例えばワシントン州レッドモンドのマイクロソフト社によって提供されるマイクロソフトアウトルック)を含み、ネットワーク資源(170A)は電子メールサーバを含む。図1の以下の残りの説明は、この場合であると仮定する。しかし、任意のクライアントアプリケーション及び/又はネットワーク資源が使用され及び/又はアクセスされ得るので、本発明が限定されないことを十分理解されよう。
示される実施形態においては、ネットワーク資源の名前を解決するためのアプリケーション(105)による試みのようなアプリケーション(105)上の活動は、ネットワークスタック(110)(一実施形態においては、それはクライアント装置(100)上で実行するオペレーティングシステムのコンポーネント)によって検出される。この点において、アプリケーション(105)は通常、ネットワーク上のネットワーク資源(170A)を特定するために使用される識別子(例えばIPアドレスのようなネットワークアドレス)とは異なるネットワーク資源(170A)(例えば、ドメイン名)のための識別子を使用するので、当業者は、アプリケーション(105)が一般に、ネットワーク識別子を決定するために、ネットワーク資源(170A)の名前を解決するのを試みることを認識している。本発明はこの点において限定されないので、オペレーティングシステムの一部として実装されるコンポーネント(例えば、ネットワークスタック(110))によって活動が監視される必要はないのが十分理解されよう。任意の適切なコンポーネントを使用できる。
もちろん、アプリケーション(105)は、ネットワーク資源にアクセスするためのドメイン名のような識別子を使用する必要はない。例えば、アプリケーション(105)は、それがアプリケーションにとって有効な場合、ネットワーク資源のためのネットワークアドレスを使用できる。本アプリケーションがネットワークアドレスを特定する例示的なシナリオについて、図4を参照し後述する。
示される実施形態においては、アプリケーション(105)は、クライアント上のネットワーク名を解決するのを試みるために、まずドメインネームサービス(DNS)レゾルバ(120)と通信する。一実施形態においては、DNSレゾルバ(120)は、アプリケーションの以前の活動の結果、アクセスされたネットワーク資源に関するものなど、以前解決されたドメイン名に関するネットワーク識別子の集合を維持する。
示される実施形態においては、DNSレゾルバ(120)がDNSサーバを調べないでネットワーク資源(170A)に関するネットワークアドレスをアプリケーション(105)に提供できない場合は、CNAM(115)に通知される。示される実施形態においては、CNAM(115)は、DNSレゾルバ(120)がドメイン名を解決する必要がある時など所定のイベントが発生するときに生ずる処理を定義するプログラム命令を含む。
クライアント装置上で実行するアプリケーションに関連するイベントによって、ネットワークの接続を確立させるか否かを評価するために実行される処理の例示的な実施形態を図2に示す。処理(200)の開始時、動作(210)において、アプリケーションと関連し発生するイベントが監視される。イベントは、例えば、ネットワーク名を解決するためのアプリケーションによる試みであり得る。動作(220)において、1つ以上の規則とイベントを比較することによってイベントが評価される。例えば、イベントは、CNAM(115)に含まれるプログラム命令によって定義される1つ以上の規則と比較され得る。動作(230)において、イベントが任意の規則(単数又は複数)を満たすか否かが決定される。動作(230)において、例えばアプリケーション(105)によるネットワーク名を解決するための試みが規則を満たすことが決定され得る。アプリケーションイベントが任意の規則(単数又は複数)を満たす場合、動作(240)において、接続が確立され処理を完了する。さもなければ、アプリケーションイベントが監視され続けるように、処理は始めに戻る。
もちろん、アプリケーションイベントを監視するときに、実行され得る処理は、ネットワークへの接続を確立することに限定されず、処理を定義するイベントは、ネットワーク名を解決することを試みるアプリケーションに限定されない。任意の適切なイベント及び/又は処理を定義できる。ネットワーク管理者のようなユーザが、例えばプロセス及び/又はイベントを定義するプログラム命令を定義できる。
示される実施形態においては、予定されたイベントが発生するとき生ずる処理は、CNAM(115)が、DNSレゾルバ(120)が解決を試みているドメイン名を評価し、ドメイン名(例えば、ドメイン名とDNSマッパ(160)との関連)に基づいた特定のDNSサーバ(すなわち、DNSマッパ(160))を選択し、ドメイン名を解決するためにDNSマッパ(160)と連絡するようにDNSレゾルバ(120)に命令することである。
提供されるドメイン名に基づいて、複数の同様なDNSサーバコンポーネントからDNSマッパ(160)を選択できるのが十分理解されよう。ドメイン名に基づいてDNSサーバが選択されるので、追加として、ドメイン名が提供されない場合は、クライアントとネットワーク資源との間の通信を容易にするために、ゲートウェイを使用する必要はない。ゲートウェイがVPNへのアクセスポイントである実装において、これは利点であり得る。例えば、ゲートウェイ(150)がVPNへのアクセスポイントである場合、それはクライアント装置(100)とインターネットを介し公的にアクセスし得るネットワーク資源との間の通信を容易にするために使用する必要はなく、クライアント装置(100)が提供する場合、例えば、CNAM(115)が決定するドメイン名をDNSマッパ(160)に送信するべきでない。本システムによって、クライアントはVPNにアクセスせずにネットワーク資源にアクセスでき、その結果、それに関連する処理のオーバヘッド及び費用を排除できる。
また、DNSサーバは、いくつの適切な情報に基づいて、DNSサーバを選択できるので、ドメイン名だけに基づいて選択される必要がないのが十分理解されよう。本発明は、特定の実装に限定されない。
示される実施形態において、DNSレゾルバ(120)はその後、DNSマッパ(160)と連絡するのを試みる。この試みはネットワークスタック(110)によって処理される。接続が未だ確立されていない場合、ネットワークスタック(110)は、アプリケーション(105)がネットワーク資源(170A)にアクセスできるように、リモートアクセスサービス(RAS)接続(125)にネットワークアクセスゲートウェイ(150)と接続するよう命令する。さらに具体的に言うと、RAS接続(125)は、クライアント(100)とネットワークアクセスゲートウェイ(150)との2地点間接続を確立するよう命令される。当業者は、従来のVPN処理と同様であって、アプリケーションプロキシモデルと対照的に、クライアントとゲートウェイとの間の2地点間接続を確立することは、クライアント(100)上のネットワークインターフェースを確立することと認識するだろう。ネットワークインターフェースが確立されるため、後述されるネットワークとの通信のための手順において、IPアドレスがクライアント(100)に割り当てられる。
RAS接続(125)はその後、VPNサーバ(155)と連絡することによって、クライアント(100)とネットワークアクセスゲートウェイ(150)との二地点間接続の確立を試みる。示される実施形態においては、RAS接続(125)及びVPNサーバ(155)は、クライアント(100)とネットワークアクセスゲートウェイ(150)と間の接続を確立し維持し、この接続は構成可能な期間、(すなわち、全く通信が接続上通過しない)アイドル状態が続くまで維持され得る。当業者は、クライアントとゲートウェイとの間の2地点間接続を確立し維持するためのこの様なRASコンポーネント使用が、従来のVPN(複数)において一般的であることを認識するだろう。
一実施形態においては、クライアント(100)とネットワークアクセスゲートウェイ(150)との間の通信は、SSLプロトコルを介し発生するが、この点で本発明は限定されない。任意の適切な通信プロトコルを使用できる。
しかし、本発明の一実施形態に従うと、ネットワーク資源(170A)に対する実際のネットワークアドレス(例えば、IPアドレス)をアプリケーション(105)に提供するよりむしろ、DNSマッパ(160)は、新しいネットワークアドレスを供給し、VPNサーバ(155)にそれを割り当て、この新たに供給されたアドレスをクライアント(100)上のDNSレゾルバ(120)に提供する。その結果、それに続くネットワーク資源にアクセスするためのクライアント装置(100)上のアプリケーションによる試みは、クライアントにおいて解決され得、DNSマッパとの通信は要求されない。
一実施形態においては、新たに供給されるアドレスは、DNSマッパ(160)によって動的に生成される。具体的に言うと、従来のいくつかのアプローチと比べ、新しいアドレスはネットワーク資源にアクセスするときの使用のために事前に供給されず(例えば、手動で作成され)、それは特に、ネットワーク資源(170A)にアクセスするときにクライアント(100)による使用のためにDNSマッパ(160)によって、生成される。新しいアドレスはまた、1つ以上のアルゴリズムを介して実際のネットワークアドレスからは得られない。また一実施形態においては、新しいアドレスは特定の形式に限定されない。例えばクライアント又はネットワーク資源のいずれかがIPv4形式を使用することが知られている場合、IPv4フォーマットのアドレスを動的に生成できるように、例えば、IPv4、IPv6又は任意の他の適切な形式のアドレスを生成できる。
示される実施形態においては、DNSマッパ(160)はまた、新たに供給されるネットワークアドレスとネットワーク資源(170A)のための実際のネットワークアドレスとの双方をトランスポートレイヤプロキシ(165)に提供する。多くの異なるネットワーク資源及び/又はクライアント装置に対して、この処理を何度も反復できるので、ネットワーク資源それぞれに対して1つの多くのIPアドレスをVPNサーバ(155)に供給することができる。
前述の処理を実行するための例示的な技法を表現する流れ図を図3に示す。処理(300)の開始時、動作(310)において、ネットワーク資源にアクセスするためのリクエストを受信する。動作(320)において、資源のためのネットワークアドレスが(例えば前述のように解決されて)決定される。動作(330)において、新しいネットワークアドレスが供給される。例えば、VPNサーバ(155)に新しいアドレスを割り当てることができる。動作(340)において、ネットワーク資源にアクセスするときに使用するための新しいアドレスをクライアント装置に提供する。動作(340)の完了時、処理は終了する。
この処理の結果、アプリケーション(105)は、次にネットワーク資源(170A)にアクセスすることを試みるとき、それは新たに供給されたネットワークアドレスを使用する。アプリケーション(105)は、アクセスリクエストをこのアドレスに送信し、そのリクエストは、VPNサーバ(155)によって受信される。リクエストはその後、トランスポートレイヤプロキシ(165)に送られ、示される実施形態においては、新たに供給されたネットワークアドレスに基づいたネットワーク資源(170A)のためにネットワークアドレスを決定できるDNSマッパ(160)によって、前に提供された情報が維持される。しかし、ネットワーク資源(170A)のための実際のネットワークアドレスが、本発明がこの点で限定されないような任意の適切な方法において、決定できるのが十分理解されよう。
示される実施形態においては、リクエストをネットワーク資源(170A)に送信するよりむしろ、トランスポートレイヤプロキシ(165)は、ゲートウェイ(150)上のアクセスリクエストを終了し、実際のネットワークアドレスを使用し、ネットワーク資源(170A)との直接的な接続を確立する。その後、アプリケーション(105)からのネットワーク資源(170A)への通信は、最初ゲートウェイ(150)に伝わり、その後、この新たに確立した接続に沿ってゲートウェイ(150)からネットワーク資源(170A)へ伝わる。同様に、ネットワーク資源(170A)からアプリケーション(105)への通信が、最初にネットワーク資源(170A)とゲートウェイ(150)との間に伝わり、その後、ゲートウェイ(150)とクライアント(100)との接続に沿って伝わる。このように、トランスポートレイヤプロキシ(165)は、アプリケーション(105)とリソース(170A)との間のプロキシとしてサービスする。
示される実施形態においては、アプリケーション(105)とネットワーク資源(170A)との間の通信のためのセキュリティポリシーを実装するために、トランスポートレイヤプロキシ(165)によりプラグイン(168)を使用する。例えば、プラグイン(168)は、実行されるときに、アプリケーション(105)とリソース(170A)との間の通信がポリシーに従うか否かを決定するために検査するプログラム命令を含み得る。例として、プラグイン(168)は、コンピュータウィルスがないことを決定するために、通信を検査できる。しかし、任意の適切な方法でいくつかの適切なポリシーを適用できることが十分理解されよう。例えば、直接的又は間接的にセキュリティと関連しないポリシーが実施され得る。さらに、任意の適切なコンポーネントが使用できるので、トランスポートレイヤプロキシ(165)へのプラグインによって、ポリシーを実装する必要はない。追加として、例としてユーザ(例えばネットワーク管理者、第三者ベンダ又はコンサルタント)によってポリシーを定義できる。また、ポリシーは、ゲートウェイ(150)上を伝わる任意の通信の検査も定義でき、サーバ、ポート及び/又は他の資源などの資源に向けられるものを含む。
前述のコンポーネント及び技法が、それらのそれぞれの欠点を含まないで従来のVPNアーキテクチャの恩恵の多くを提供するのが十分理解されよう。例えば、前述のアーキテクチャは、ネットワーク資源へのアクセスを可能にするために、クライアントアプリケーションに対する修正を要求せずにアプリケーションプロキシモデルのセキュリティの利点を提供できる。同様に、前述のアーキテクチャは、セキュリティを犠牲にせず、従来の典型的なVPNのネットワーク資源へ継ぎ目のないアクセスを容易にできる。
また、前述のアーキテクチャは、従来のVPNのクライアント装置のようにそれが機能するクライアント装置上のコンポーネント、及び、それがアプリケーションプロキシのように機能するネットワークアクセスゲートウェイ上のコンポーネント、を含むことを十分理解されよう。例えば、クライアント(100)上のCNAM(115)は、従来のVPNにおいて実装されるクライアントのコンポーネントと同様の方法で、クライアント装置上のアプリケーションを変更せずに、ネットワーク資源に継ぎ目なく透過的にアクセスできるように、アプリケーション(例えば、アプリケーション(105))とネットワーク資源(170)との間の通信を管理できる。同様にトランスポートレイヤプロキシ(165)及び/又はプラグイン(168)は、アクセスリクエストを終了し、ネットワークアクセスゲートウェイ(150)上の通信を検査することによって、アプリケーションプロキシモデルに匹敵するセキュリティレベルを提供できる。
前述のように、本発明の特徴は、VPNへのリモートアクセスを可能にする際に有用であり得るが、本発明の実施形態は多くの用途を有し得、他のネットワーク構成における、接続容易性に関連する用途を含む。例えば、ピアツーピア(P2P)ネットワークにおける接続性を容易にするために、前述のコンポーネント及び技法の多くを使用できる。
当業者は、そのピアツーピア接続性は、主としてネットワーク上のノード間の通信を中継するスーパーノードを介し、達成されることを認識するだろう。典型的なスーパーノードは一般に、ファイアウォール、NAT又は他のセキュリティ装置の背後に存在するノードを含むノードに(すなわち、それらはファイアウォール、ネットワークアクセス変換(NAT)コンポーネント、又は、着信する接続を妨げる他の装置の背後に存在しない)アクセス可能である。(例えば個人又は企業であり得る所有者によって)スーパーノードとなるコンピュータが通常、自発的に提供される。スーパーノードとしての身元証明は一般に、ワシントン州レッドモンドのマイクロソフト社によって提供されるようなピアツーピア名前解決プロトコル(PNRP)を介し発行される。PNRPによって簡単に、スーパーノードの身元証明及び/又はロケーションが、(例えばインターネット上の)ノードにアクセスするために使用できる分散データベースに発行され得る。クライアント装置は、ピアツーピアアプリケーション(例えばワシントン州レッドモンドのマイクロソフト社で製造されたウィンドウズ(登録商標)のメッセンジャー又は他のピアツーピアアプリケーション)を開始するとき、アプリケーションは、スーパーノードのロケーション及び身元証明を発見するために、データベースに問い合わせできる。
一実施形態においては、図1のクライアント装置(100)上にインストールされるコンポーネントは、ピアツーピアノード上に実装され、図1のネットワークアクセスゲートウェイ上にインストールされるコンポーネントは、スーパーノード上に実装され得、そのノードによるピアツーピアネットワーク上の別のノードへのアクセスを容易にする。例示的な一実装を図4に示す。
図1に表示されるコンポーネントによって実行される技法の多くは、ピアツーピアネットワークへの接続を容易にするために、図4に表示されるコンポーネントによって実行され得る。例として、ノード(101)は、スーパーノード(151)によって提供される通信中継サービスを得るために、「ブートストラップ法」の処理の一部としてスーパーノード(151)にアクセスすることを試み得る。ネットワークスタック(110)は、このイベントを監視し、CNAM(115)に通知でき、CNAMは、ブートストラップ法の処理のようなイベントの発生時に生ずる処理を定義するプログラム命令を含み得る。例えば、CNAM(115)によって、ピアツーピアのRAS接続(126)及びRAS転送サーバ(156)を介し、ノード(101)とスーパーノード(151)との間における接続を確立できる。スーパーノードはその後、ネットワークアドレス(例えばIPアドレス)をノード(101)に割り当てることができる。
図1に示される実施形態に関して、ノード(101)とスーパーノード(151)との間における通信は、SSL通信プロトコルか又は他の任意の適切な通信プロトコルを介し発生し得る。
スーパーノード(151)は、ネットワークを介しアクセス可能な他の複数のノードをノード(101)に通知できる。ノード(101)は、ノード(102)にアクセスするために、ノード(102)のネットワークアドレスを特定するためのリクエストを発行できる。具体的に言うと、ノード(101)は、トランスミッション制御プロトコル(TCP)接続リクエスト(例えば、パケット送出リクエスト)をスーパーノード(151)に送信でき、それはそのリクエストに対してノード(101)によって指定される送信先のネットワークアドレス(例えばIPアドレス)を調べ、それがネットワークを介し依然としてアクセス可能なノードに対応することを決定し、ノード(102)がアクセス可能な状態であることを決定したとき、リクエストを転送する。ノード(102)は、アクセスリクエストを承認するか又は拒絶できる。
一実施形態においては、ピアツーピアネットワーク上のノード間の通信は、トランスポートレイヤプロキシ(165)において終了されずに、スーパーノードを介しフローするため、DNSマッパ(160)は、ノード(101)によって提供される識別子を解決し、又は図1での構成のように新しいネットワークアドレスを供給し、ノード(101)にそれを提供する必要は全くない。代わりに、通信はスーパーノード(151)を介しノード(102)へフローするように方向付けられる。
ピアツーピアネットワーク上に1つ以上のスーパーノードがあり得、ノードすべてがスーパーノードそれぞれに直接アクセス可能というわけではない。ノード(102)がスーパーノード(151)によって直接アクセス可能でない場合、スーパーノード(151)によって通信は、ノード(102)に直接アクセス可能な別のスーパーノードへ転送され得る。このように、一実施形態においては、スーパーノード(151)は、相互接続(180)を含み、それはノード(102)が、スーパーノード(151)に直接アクセス可能であるか否かを決定し、そうでない場合、最終的にノード(102)に送信するためにスーパーノード(152)へ通信を転送する。
一実施形態においては、スーパーノード(151)は、帯域幅マネージャ(175)を含み、それはスーパーノード上のトラフィックの伝送によって占有される帯域幅を規制できる。例えば、スーパーノード(151)が、ネットワークアクセス(例えばワールドワイドウェブをブラウズすること)を必要とする他の活動のためにもコンピュータの使用を所望する関係者によって自発的に提供されるコンピュータであるとき、これは有用であり得る。例えば、帯域幅マネージャ(175)は、スーパーノードとしてのコンピュータの役割に関連しないこれら他の活動のため、十分な帯域幅が予約されることを保証できる。一実施形態においては、帯域幅マネージャ(175)は、予約された帯域幅を変更するために、(例えば、ネットワーク管理者などのユーザによって)構成可能であり得る。
ピアツーピア通信に割り当てられる帯域幅を規制するために使用され得る例示的な技法を図5に示す。ノードがブートストラップするときのように、ノードが、ピアツーピアネットワークを介し通信するためにスーパーノードにリクエストを出すとき、処理(500)を開始できる。動作(510)において、処理(500)の開始時、ピアツーピアネットワークを介し通信するためのノードからのリクエストが、スーパーノードによって受信される。リクエストは、そのノードと第2のノードとの間の情報の転送のために予期される帯域幅要件に関する情報を含み得る。予期される帯域幅要件は、ノードによって実行された前の通信活動を検査することによるなどの任意の適切な技法を使用し決定され得る。
動作(520)において、スーパーノードが、予期される帯域幅要件を支援できるための十分な帯域幅を有するか否かを決定するために、リクエストが検査される。スーパーノード(151)上の帯域幅マネージャ(175)は例えば、まず帯域幅の第1の部分をピアツーピア活動に割り当て、第2の部分を他の活動に割り当てることができる。
追加すると、スーパーノードは、ネットワーク上の他のノード間のピアツーピア通信を支援することに積極的に従事できる。結果として、スーパーノードは、まずピアツーピア活動に割り当てられる帯域幅の総量、進行中のピアツーピア通信に注がれる帯域幅の総量、及び/又は、ノードによって提供される予期される帯域幅要件を支援するために十分な帯域幅が存在しているか否かを決定させるための他の情報を検査できる。
予期される帯域幅要件を支援するために十分な帯域幅が存在していない決定がされる場合、動作(530)において、リクエストを拒否する通信がスーパーノードによってノードに送信され、処理を終了する。例えば、スーパーノードは、十分な帯域幅の不足のためにリクエストが拒否されたと指定するメッセージをノードに送信できる。例えば、ノードはその後、同様の接続リクエストを別のスーパーノードに送信できる。
動作(520)において、予期される帯域幅要件を支援するための帯域幅をスーパーノードが有することが決定された場合、動作(540)において、リクエストを承認する通信が、スーパーノードによってノードへ送信される。動作(540)の完了時、処理が完了する。その後、ノードはスーパーノードを介し通信を別のノードに送信できる。スーパーノードによって他方のノードに直接、通信を送信することができるか又はもう片方のノードへ最終的に送信するために、別のスーパーノードに送信することができる。
一実施形態においては、スーパーノード(151)によって中継及び/又は送信されるトラフィックにおいて(例えばセキュリティに関連する)ポリシーを課すためにプラグイン(168)を使用できる。例えば、企業のネットワークにおいてユーザ間のピアツーピア接続のために、スーパーノード(151)が使用される場合、企業は、ユーザ間のその通信がコンピュータウィルスがないことを確実にするためにプラグイン(168)を使用することができる
図6に示される例示的なコンピュータシステム(600)のように、1つ以上のコンピュータシステムにおいて、本発明の多様な特徴の実施形態を実施できるのが十分理解されよう。コンピュータシステム(600)は、入力装置(602)、出力装置(601)、プロセッサ(603)、メモリシステム(604)及びストレージ(606)を含み、直接又は間接的に相互接続装置(605)を介しそのすべてが結合されていて、相互接続装置(605)は1つ以上のバス又はスイッチを含み得る。入力装置(602)は、ユーザ又はマシン(例えば人間のオペレータ又は受話器)からの入力を受信し、出力装置(601)は情報をユーザ又はマシン(例えば液晶ディスプレイ)に表示するか又は送信する。
図6に示される例示的なコンピュータシステム(600)のように、1つ以上のコンピュータシステムにおいて、本発明の多様な特徴の実施形態を実施できるのが十分理解されよう。コンピュータシステム(600)は、入力装置(602)、出力装置(601)、プロセッサ(603)、メモリシステム(604)及びストレージ(606)を含み、直接又は間接的に相互接続装置(605)を介しそのすべてが結合されていて、相互接続装置(605)は1つ以上のバス又はスイッチを含み得る。入力装置(602)は、ユーザ又はマシン(例えば人間のオペレータ又は受話器)からの入力を受信し、出力装置(601)は情報をユーザ又はマシン(例えば液晶ディスプレイ)に表示するか又は送信する。
プロセッサ(603)は、他のコンピュータプログラムの実行を制御するオペレーティングシステムと呼ばれるプログラムを実行し、スケジューリング、入力/出力及び他の装置制御、課金、コンパイル、ストレージ割り当て、データ管理、メモリ管理、通信、及びデータフロー制御を提供する。プロセッサ及びオペレーティングシステムは、他のコンピュータプログラミング言語によってアプリケーションプログラムが記述されるコンピュータプラットフォームを定義する。
プロセッサ(603)はまた、本発明の特徴を実施するような多様な機能を実装するための1つ以上のプログラムを実行できる。手続き型プログラミング言語、オブジェクト指向プログラミング言語、マクロ言語、又はそれらの組み合わせのようなコンピュータプログラミング言語でこれらのプログラムを記述できる。
これらのプログラムは、ストレージシステム(606)にストアされ得る。ストレージシステムは、揮発性又は不揮発性媒体上に情報が保持され得、固定されているか又は取り外し可能であり得る。図7においてストレージシステムをさらに詳細に示す。それは通常、計算機可読であって書込み可能の不揮発性記録媒体(701)を含み、その記録媒体上にはプログラムを定義する信号又はそのプログラムによって使用される情報がストアされる。媒体は、例えばディスク又はフラッシュメモリがあり得る。稼働中、通常はプロセッサ(603)によって、データは不揮発性記録媒体(701)からプロセッサ(603)が、媒体(701)より速い情報へのアクセスを可能とする揮発性メモリ(702)(例えばランダムアクセスメモリ又はRAM)へ読み出される。図7に示されているようなストレージシステム(706)又は図6に示されるようなメモリシステム(604)の中に、このメモリ(702)を配置できる。プロセッサ(603)は一般に、集積回路メモリ(604)、(702)の内部でデータを操作し、その後、処理を終了した後に、データを媒体(701)に複製する。媒体(701)と集積回路メモリ素子(604)、(702)との間のデータ移動を管理するための様々なメカニズムが知られていて、本発明はそれに限定されない。本発明はまた、特定のメモリシステム(604)又はストレージシステム(606)にも限定されない。
多くの方法のうち何れかによって、本発明の前述の実施形態を実施できるのもまた、十分理解されよう。例えば、ハードウェア、ソフトウェア又はそれらの組み合わせを使用し、前述の機能を実装できる。ソフトウェアで実装されるとき、ソフトウェアコードは、任意の適切なプロセッサか又はプロセッサの集合上で実行され得るか、単一のコンピュータにおいて提供され得るか又は複数のコンピュータ中で分散され得る。この点において、前述の機能のエージェントが、マルチプロセス及び/又はシステムの中で分散できるのが十分理解されよう。本明細書記載の機能を実行するコンポーネント又は任意のコンポーネントの集合は、一般的に、前述の機能を制御する1つ以上のコントローラとみなすことができるのがさらに十分理解されよう。1つ以上のコントローラは、専用ハードウェアなどを使用した多くの方法、又は、前述の機能を実行するためのマイクロコード又はソフトウェアを使用しプログラムされる、1つ以上のプロセッサを使用することによって実装され得る。コントローラがシステムオペレーションのためのデータをストアするか、又は提供するところにおいては、セントラルリポジトリ、複数リポジトリ又はそれらの組み合わせにおいてそのようなデータをストアすることができる。
本発明の少なくとも一つの実施形態においていくつかの特徴について説明してきたが、その結果、当業者に様々な変更、修正及び改良が容易に気づくのが十分理解されよう。そのような変更、修正及び改良は、本開示の一部であることを意図し、本発明の趣旨と範囲の中にあることを意図する。従って、前記説明及び図面は、例としてのみ示すものである。
Claims (20)
- クライアント装置、ゲートウェイシステム及びネットワーク資源を含み、ネットワークを介し通信するシステムにおいて、前記クライアントが、前記ゲートウェイシステムを用いる前記ネットワーク上の通信を介し前記ネットワーク資源にアクセス可能であって、前記ネットワーク資源が、第1のネットワークアドレスによって前記ネットワーク上において識別され、前記第1のネットワークアドレスが第1の形式を有し、前記第1の形式が複数の形式のうち1つであって、少なくとも1つの計算器可読媒体がその上に記録された命令を有し、前記ゲートウェイシステムによって実行されるとき、その命令が、
(A)前記ネットワーク資源にアクセスするための第1のリクエストを、前記クライアント装置から受信するステップであって、前記第1のリクエストが、前記ネットワーク資源を識別するために、前記クライアント装置によって使用される名前、又はネットワークアドレス、のいずれかを特定するものと、
(B)前記第1のリクエストが名前を特定するか否かを決定するステップと、
(C)前記第1のリクエストが名前を特定することを決定したとき、
(C1)前記名前に基づいた前記ネットワーク資源に対する前記第1のネットワークアドレスを決定するために、前記第1のリクエストを処理するステップと、
(C2)前記ネットワーク資源にアクセスするときに、前記クライアント装置によって使用されるための第2のネットワークアドレスを動的に生成するステップであって、前記第2のネットワークアドレスが、前記動作(B)が実行される前、前記ネットワーク資源にアクセスするとき使用されるために供給されず、前記第2のネットワークアドレスが前記第1の形式に従うことに限定されないものと、
(C3)前記ネットワーク資源にアクセスするときに使用するため前記第2のネットワークアドレスを前記クライアント装置に提供するステップと、
(C4)前記ネットワーク資源にアクセスするためのリクエストを、前記クライアント装置から受信するステップであって、前記リクエストが前記第2のネットワークアドレスに向けられているものと、
(C5)前記第1のネットワークアドレスにおける前記ネットワーク資源との接続を確立するステップと、
(C6)前記リクエストを終了するステップと、及び
(C7)前記接続を介し前記クライアント装置と前記ネットワーク資源との間の通信を容易にするステップと、
の動作を含む方法を実行することを特徴とする計算器可読媒体。 - 前記動作(C7)がさらに、前記クライアント装置と前記ネットワーク資源との間の通信にセキュリティポリシーを課すステップを含む請求項1記載の少なくとも1つの計算器可読媒体。
- 前記動作(C7)が、前記クライアントと前記ネットワーク資源との間の通信がコンピュータウィルスを含まないことを決定するステップを含む請求項2記載の少なくとも1つの計算器可読媒体。
- 前記動作(C7)がさらに、セキュアソケットレイヤ(SSL)プロトコルを介し前記クライアント装置と前記ゲートウェイシステムとの間の通信を容易にするステップを含む請求項1記載の少なくとも1つの計算器可読媒体。
- 前記第1のリクエストが前記第1のネットワークアドレスを特定することを決定したとき、前記動作(C)がさらに、
(C8)前記第1のリクエストを前記第1のネットワークアドレスにおける前記ネットワーク資源に転送するステップを含む請求項1記載の少なくとも1つの計算器可読媒体。 - 前記クライアント装置が、ピアツーピアネットワーク上の前記第1のノードからなり、前記ゲートウェイシステムが、前記ピアツーピアネットワーク上のスーパーノードからなり、及び前記ネットワーク資源が、前記ピアツーピアネットワーク上の第2のノードからなることを特徴とする請求項5記載の少なくとも1つの計算器可読媒体。
- 前記動作(C8)がさらに、前記第1のリクエストを前記ネットワーク資源に転送する前に、前記第1のリクエストを支援するための十分な帯域幅が、前記ゲートウェイにおいて割り当てられるか否かを決定し、十分な帯域幅が割り当てられることを決定したとき、前記第1のリクエストを転送するステップを含む請求項5記載の少なくとも1つの計算器可読媒体。
- 前記動作(C8)がさらに、前記第1のリクエストを前記ネットワーク資源に転送する前に、セキュリティポリシーを前記第1のリクエストに課すステップを含む請求項5記載の少なくとも1つの計算器可読媒体。
- 前記セキュリティポリシーを課す前記動作(C8)がさらに、前記第1のリクエストがコンピュータウィルスを含まないことを決定するステップを含む請求項8記載の少なくとも1つの計算器可読媒体。
- 前記命令が実行される前記ゲートウェイシステムが、単一の装置からなることを特徴とする請求項1記載の少なくとも1つの計算器可読媒体。
- 複数のゲートウェイシステム及びネットワーク資源を含むネットワークで接続されたシステムにおいて、前記複数のゲートウェイシステムのうち1つを用いる通信を介して前記ネットワーク資源にアクセスする動作が可能なクライアント装置であって、前記クライアント装置が、
前記ネットワーク資源にアクセスするために発行されるリクエストを発生可能なアプリケーションであって、前記リクエストが、前記ネットワーク資源を識別するための前記アプリケーションによって使用される名前を特定するものと、
接続性コントローラであって、
前記リクエストを受信し、
前記リクエストの受信に応答し、前記クライアントが前記ネットワーク資源にアクセスするために通信するための前記複数のゲートウェイシステムから第1のゲートウェイシステムを選択するために前記リクエストを処理し、前記選択が前記アプリケーションによって特定された前記名前に基づくものと、
前記第1のゲートウェイシステムとの接続を開始する動作が可能であるものと、
を含む前記クライアント装置。 - 前記第1のゲートウェイシステムとの接続を確立したとき、前記接続性コントローラがさらに、前記第1のゲートウェイシステムによる前記クライアント装置の認証のために有用な情報を前記第1のゲートウェイシステムに提供する動作が可能であること、を特徴とする請求項11記載のクライアント装置。
- 前記アプリケーションが電子メールクライアントアプリケーションであって、前記ネットワーク資源が電子メールサーバであることを特徴とする請求項11記載のクライアント装置。
- 前記接続性コントローラが、ソフトウェアだけを介し実装されることを特徴とする請求項11のクライアント装置。
- 前記クライアント装置と前記第1のゲートウェイシステムとの間の通信が、SSLプロトコルを介し生ずることを特徴とする請求項11のクライアント装置。
- 前記システムがさらに、インターネットを介し前記クライアント装置にアクセス可能な第2のネットワーク資源を含み、
前記アプリケーションがさらに、名前よりむしろネットワークアドレスにおける前記第2のネットワーク資源にアクセスするための第2のリクエストを発行する動作が可能であって、
前記接続性コントローラがさらに、前記第2のネットワーク資源にアクセスするために、前記第1のゲートウェイシステムとの接続を確立しない決定をするように前記第2のリクエストを処理する動作が可能であることを特徴とする請求項11記載のクライアント装置。 - クライアント装置、複数のゲートウェイシステムのうち第1のゲートウェイシステム
及びネットワーク資源を含むシステムであって、
前記クライアント装置、第1のゲートウェイシステム及びネットワーク資源が、ネットワークを介して通信し、前記クライアント装置が、前記ネットワークを介し前記第1のゲートウェイシステムにリクエストを発行することによって前記ネットワーク資源にアクセスする動作が可能であって、前記リクエストが、前記ネットワーク資源を識別するための前記クライアント装置によって使用される名前、又は前記ネットワーク上の前記ネットワーク資源を識別するために使用されるネットワークアドレス、のいずれかを特定し、
前記第1のゲートウェイシステムは、前記リクエストが名前か又はネットワークアドレスを特定するかを決定するためにリクエストを処理し、前記リクエストが名前を特定することを決定したとき、第1のゲートウェイシステムにおける前記リクエストを終了し、前記第1のゲートウェイシステムと前記ネットワーク資源との間との接続を介し前記クライアント装置と前記ネットワーク資源との間の通信を容易にし、前記リクエストが、ネットワークアドレスを特定することを決定したとき、前記ネットワークアドレスにおける前記ネットワーク資源に前記リクエストを転送する、動作が可能であって、前記クライアントがさらに、前記ネットワーク資源を識別するための前記クライアントによって使用される前記名前に基づいた前記リクエストを受信する前記第1のゲートウェイシステムを、前記複数のゲートウェイシステムから選択する動作が可能であることを特徴とするシステム。 - 前記リクエストが、SSLプロトコルを介し送信されることを特徴とする請求項17記載のシステム。
- 前記リクエストが、ネットワークアドレスを特定することを決定したとき、前記第1のゲートウェイシステムがさらに、前記リクエストを支援するための十分な帯域幅が、前記第1のゲートウェイシステムにおいて使用可能か否かを決定する動作が可能であることを特徴とする請求項17記載のシステム。
- 前記第1のゲートウェイシステムがさらに、セキュリティポリシーを前記リクエストに課す動作が可能であることを特徴とする請求項17記載のシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/178,219 US8166538B2 (en) | 2005-07-08 | 2005-07-08 | Unified architecture for remote network access |
| PCT/US2006/026820 WO2007008856A2 (en) | 2005-07-08 | 2006-07-10 | Unified architecture for remote network access |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009500968A true JP2009500968A (ja) | 2009-01-08 |
Family
ID=37619732
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008520449A Pending JP2009500968A (ja) | 2005-07-08 | 2006-07-10 | リモートネットワークアクセスのための統合アーキテクチャ |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US8166538B2 (ja) |
| EP (1) | EP1902383A2 (ja) |
| JP (1) | JP2009500968A (ja) |
| KR (1) | KR20080026161A (ja) |
| CN (1) | CN101218577B (ja) |
| AU (1) | AU2006268313A1 (ja) |
| BR (1) | BRPI0612400A2 (ja) |
| CA (1) | CA2611554A1 (ja) |
| MX (1) | MX2008000175A (ja) |
| RU (1) | RU2007148416A (ja) |
| WO (1) | WO2007008856A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014068818A1 (ja) * | 2012-10-31 | 2014-05-08 | 日本電気株式会社 | Mplsネットワーク及びそれに用いるトラフィック制御方法 |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008088338A1 (en) * | 2007-01-18 | 2008-07-24 | Thomson Licensing | Prefix caching assisted quality of service aware peer-to-peer video-on-demand |
| US8528058B2 (en) * | 2007-05-31 | 2013-09-03 | Microsoft Corporation | Native use of web service protocols and claims in server authentication |
| US8613044B2 (en) * | 2007-06-22 | 2013-12-17 | 4Dk Technologies, Inc. | Delegating or transferring of access to resources between multiple devices |
| US8369343B2 (en) * | 2008-06-03 | 2013-02-05 | Microsoft Corporation | Device virtualization |
| EP2148493A1 (en) * | 2008-07-24 | 2010-01-27 | Nokia Siemens Networks OY | P2P overlay network for administrative services in a digital network |
| US20100146120A1 (en) * | 2008-12-09 | 2010-06-10 | Microsoft Corporation | Caller-specific visibility masks for networking objects |
| US10142292B2 (en) | 2010-06-30 | 2018-11-27 | Pulse Secure Llc | Dual-mode multi-service VPN network client for mobile device |
| US8458787B2 (en) * | 2010-06-30 | 2013-06-04 | Juniper Networks, Inc. | VPN network client for mobile device having dynamically translated user home page |
| US8127350B2 (en) | 2010-06-30 | 2012-02-28 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device |
| US8549617B2 (en) | 2010-06-30 | 2013-10-01 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device having integrated acceleration |
| US8973088B1 (en) * | 2011-05-24 | 2015-03-03 | Palo Alto Networks, Inc. | Policy enforcement using host information profile |
| US20120331032A1 (en) * | 2011-06-22 | 2012-12-27 | Microsoft Corporation | Remote Presentation Session Connectionless Oriented Channel Broker |
| US8875223B1 (en) | 2011-08-31 | 2014-10-28 | Palo Alto Networks, Inc. | Configuring and managing remote security devices |
| US8862753B2 (en) | 2011-11-16 | 2014-10-14 | Google Inc. | Distributing overlay network ingress information |
| US9143481B2 (en) | 2013-06-06 | 2015-09-22 | Apple Inc. | Systems and methods for application-specific access to virtual private networks |
| US8917311B1 (en) | 2014-03-31 | 2014-12-23 | Apple Inc. | Establishing a connection for a video call |
| US9762625B2 (en) | 2014-05-28 | 2017-09-12 | Apple Inc. | Device and method for virtual private network connection establishment |
| US20160095224A1 (en) * | 2014-09-30 | 2016-03-31 | Skyworks Solutions, Inc. | Apparatus and methods related to ceramic device embedded in laminate substrate |
| CN105959345A (zh) * | 2016-04-18 | 2016-09-21 | Ubiix有限公司 | 企业网络服务加速方法、装置及所应用的代理服务器 |
| US9985930B2 (en) | 2016-09-14 | 2018-05-29 | Wanpath, LLC | Reverse proxy for accessing local network over the internet |
| CN108124301A (zh) * | 2017-12-29 | 2018-06-05 | 深圳市智搜信息技术有限公司 | 一种无线ap的连接方法及其*** |
| US11876798B2 (en) * | 2019-05-20 | 2024-01-16 | Citrix Systems, Inc. | Virtual delivery appliance and system with remote authentication and related methods |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11122301A (ja) * | 1997-10-20 | 1999-04-30 | Fujitsu Ltd | アドレス変換接続装置 |
| JP2002164936A (ja) * | 2000-11-24 | 2002-06-07 | Ntt Docomo Inc | 中継装置 |
| JP2002208964A (ja) * | 2001-01-04 | 2002-07-26 | Nec Corp | インターネット中継接続におけるアドレス解決方式 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
| US6473406B1 (en) * | 1997-07-31 | 2002-10-29 | Cisco Technology, Inc. | Method and apparatus for transparently proxying a connection |
| CA2228687A1 (en) * | 1998-02-04 | 1999-08-04 | Brett Howard | Secured virtual private networks |
| US7673133B2 (en) | 2000-12-20 | 2010-03-02 | Intellisync Corporation | Virtual private network between computing network and remote device |
| WO2002057917A2 (en) * | 2001-01-22 | 2002-07-25 | Sun Microsystems, Inc. | Peer-to-peer network computing platform |
| US8200773B2 (en) | 2001-09-28 | 2012-06-12 | Fiberlink Communications Corporation | Client-side network access policies and management applications |
| US7389533B2 (en) * | 2002-01-28 | 2008-06-17 | Hughes Network Systems, Llc | Method and system for adaptively applying performance enhancing functions |
| EP1532539B1 (en) | 2002-06-06 | 2015-12-09 | Pulse Secure, LLC | Method and system for providing secure access to private networks |
| US7447751B2 (en) | 2003-02-06 | 2008-11-04 | Hewlett-Packard Development Company, L.P. | Method for deploying a virtual private network |
| US7305705B2 (en) | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
| ES2308048T3 (es) | 2003-08-29 | 2008-12-01 | Nokia Corporation | Cortafuegos personal remoto. |
| CN1561040A (zh) * | 2004-02-24 | 2005-01-05 | 武汉虹信通信技术有限责任公司 | 基于gprs/cdma2000 1x的通用无线透明vpn网桥***传输方法 |
| US7757074B2 (en) * | 2004-06-30 | 2010-07-13 | Citrix Application Networking, Llc | System and method for establishing a virtual private network |
-
2005
- 2005-07-08 US US11/178,219 patent/US8166538B2/en not_active Expired - Fee Related
-
2006
- 2006-07-10 MX MX2008000175A patent/MX2008000175A/es not_active Application Discontinuation
- 2006-07-10 CN CN2006800247224A patent/CN101218577B/zh active Active
- 2006-07-10 KR KR1020087000549A patent/KR20080026161A/ko not_active Application Discontinuation
- 2006-07-10 AU AU2006268313A patent/AU2006268313A1/en not_active Abandoned
- 2006-07-10 WO PCT/US2006/026820 patent/WO2007008856A2/en active Application Filing
- 2006-07-10 CA CA002611554A patent/CA2611554A1/en not_active Abandoned
- 2006-07-10 BR BRPI0612400-3A patent/BRPI0612400A2/pt not_active IP Right Cessation
- 2006-07-10 EP EP06786842A patent/EP1902383A2/en not_active Withdrawn
- 2006-07-10 RU RU2007148416/09A patent/RU2007148416A/ru not_active Application Discontinuation
- 2006-07-10 JP JP2008520449A patent/JP2009500968A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11122301A (ja) * | 1997-10-20 | 1999-04-30 | Fujitsu Ltd | アドレス変換接続装置 |
| JP2002164936A (ja) * | 2000-11-24 | 2002-06-07 | Ntt Docomo Inc | 中継装置 |
| JP2002208964A (ja) * | 2001-01-04 | 2002-07-26 | Nec Corp | インターネット中継接続におけるアドレス解決方式 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014068818A1 (ja) * | 2012-10-31 | 2014-05-08 | 日本電気株式会社 | Mplsネットワーク及びそれに用いるトラフィック制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007008856A3 (en) | 2007-05-10 |
| RU2007148416A (ru) | 2009-07-10 |
| US8166538B2 (en) | 2012-04-24 |
| CN101218577A (zh) | 2008-07-09 |
| WO2007008856A2 (en) | 2007-01-18 |
| US20070011733A1 (en) | 2007-01-11 |
| CN101218577B (zh) | 2010-10-06 |
| WO2007008856A9 (en) | 2007-07-05 |
| CA2611554A1 (en) | 2007-01-18 |
| AU2006268313A1 (en) | 2007-01-18 |
| KR20080026161A (ko) | 2008-03-24 |
| BRPI0612400A2 (pt) | 2010-11-03 |
| EP1902383A2 (en) | 2008-03-26 |
| MX2008000175A (es) | 2008-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8166538B2 (en) | Unified architecture for remote network access | |
| CN113950816B (zh) | 使用边车代理机构提供多云微服务网关的***和方法 | |
| CN110351191B (zh) | 网络配置方法、***、设备及存储介质 | |
| CN106850324B (zh) | 虚拟网络接口对象 | |
| US7698388B2 (en) | Secure access to remote resources over a network | |
| US20090300750A1 (en) | Proxy Based Two-Way Web-Service Router Gateway | |
| JP5323674B2 (ja) | DNS(DomainNameSystem)登録装置、VPN(VirtualPrivateNetwork)間接続管理システム、広域DNS装置、DNS登録プログラム、広域DNSプログラム、DNS登録方法、及びVPN間接続管理方法 | |
| CN108780410A (zh) | 计算***中的容器的网络虚拟化 | |
| KR20110132973A (ko) | 마이그레이션들 동안 네트워크 재구성을 자동화하는 방법 | |
| JP2021505014A (ja) | エンドツーエンドネットワークを提供するためのシステム | |
| US11729026B2 (en) | Customer activation on edge computing environment | |
| CN112911001A (zh) | 一种云vpn与企业网自动化组网方案 | |
| CN100365591C (zh) | 基于客户端的网络地址分配方法 | |
| CN114745263A (zh) | 用于服务基础设施的自主配置*** | |
| WO2021114874A1 (zh) | 一种数据处理方法及计算机可读存储介质 | |
| CN105516121B (zh) | 无线局域网中ac与ap通信的方法及*** | |
| WO2020252834A1 (zh) | 一种网络请求处理方法及***、入口及出口网络设备 | |
| JP6973326B2 (ja) | 通信システム及び通信方法 | |
| Malik et al. | Peer-to-Peer Approach for Edge Computing Services | |
| KR101006962B1 (ko) | 논리 네트워크 기반의 동적사설 경로할당 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090423 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110124 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110127 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110426 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110509 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110727 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110816 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110906 |