KR20070041438A - 방화벽 보호 서버와 방화벽 보호 클라이언트 사이에 보안인터넷 연결을 자동으로 개시하고 동적으로 설정하는시스템 및 방법 - Google Patents

방화벽 보호 서버와 방화벽 보호 클라이언트 사이에 보안인터넷 연결을 자동으로 개시하고 동적으로 설정하는시스템 및 방법 Download PDF

Info

Publication number
KR20070041438A
KR20070041438A KR1020067023609A KR20067023609A KR20070041438A KR 20070041438 A KR20070041438 A KR 20070041438A KR 1020067023609 A KR1020067023609 A KR 1020067023609A KR 20067023609 A KR20067023609 A KR 20067023609A KR 20070041438 A KR20070041438 A KR 20070041438A
Authority
KR
South Korea
Prior art keywords
client
server
connection
party computer
network
Prior art date
Application number
KR1020067023609A
Other languages
English (en)
Inventor
브라이언 길레스피에
헬멋 살멘
데이비드 트레이시
Original Assignee
엑스디에스, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엑스디에스, 인코포레이티드 filed Critical 엑스디에스, 인코포레이티드
Publication of KR20070041438A publication Critical patent/KR20070041438A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2567NAT traversal for reachability, e.g. inquiring the address of a correspondent behind a NAT server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

세션 제어 서버(SCS)를 사용하여 서버와 클라이언트 사이에 보안 연결을 자동 및 동적으로 개시 및 설정하는 시스템 및 방법이다. 서버와 클라이언트 모두는 네트워크 주소 변환기 또는 변환(NAT) 라우터 또는 방화벽을 통해 비신뢰 네트워크(인터넷과 같은)에 연결되어 있다. 서버와 클라이언트 모두에 의해 독립적으로 신뢰받는 SCS는 서버와 클라이언트 사이에 보안 연결을 설정하기 위해 요구되는 연결 파라미터를 중개한다. 본 시스템 및 방법은 클라이언트 상에서 어떠한 사용자 구성도 요구하지 않고 서버가 클라이언트로부터 명시적인 연결 요청 또는 패킷을 수용하는 것이 필요하지 않아서, 서버 방화벽이 모든 진입 트래픽에 폐쇄된 채 있도록 허용한다.
인터넷, 방화벽, NAT 라우터, 보안 연결, 서버, 클라이언트, 세션 제어 서버

Description

방화벽 보호 서버와 방화벽 보호 클라이언트 사이에 보안 인터넷 연결을 자동으로 개시하고 동적으로 설정하는 시스템 및 방법{SYSTEM AND METHOD FOR AUTOMATICALLY INITIATING AND DYNAMICALLY ESTABLISHING SECURE INTERNET CONNECTIONS BETWEEN A FIRE-WALLED SERVER AND A FIRE-WALLED CLIENT}
<관련 출원>
본 출원은 그 전체가 참조로서 본 명세서에 포함된 2004년 4월 12일에 출원된 미국 가출원 제60/561,806호에 대한 우선권을 주장한다.
본 발명은 컴퓨터 네트워크화 및 네트워크 보안 분야에 관한 것으로서, 보다 구체적으로는 컴퓨터(즉, 서버)와 각각이 네트워크 주소 변환기 라우터 및/또는 방화벽 너머에 있는 복수의 컴퓨터(즉, 클라이언트) 사이의 보안 연결을 자동 및 동적으로 개시 및 설정하는 방법에 관한 것이다.
인터넷은 연결된 컴퓨터의 수에 있어서 계속 빠르게 팽창하고 있고 광범위하게 사용할 수 있는 무선 연결 및 휴대용 컴퓨팅 장치로 향하는 추세는 매일 연결하는 새로운 컴퓨터의 수를 기하급수적으로 증가시킬 것으로 추측된다. 이러한 빠른 팽창은 무자격 접속으로부터 컴퓨터를 보호할 필요를 급격하게 증가시켰고 인터넷 네트워크 자체에 대한 다수의 확장성 문제를 이미 일으키기 시작했다. 예를 들면, 인터넷 프로토콜 버전 4(IPv4)는 32비트 IP(Internet Protocol) 주소를 사용하고, 이는 인터넷 상의 컴퓨터의 이론적 최대수가 약 40억임을 의미한다. 그러나, 실제 한도는 IP 주소가 할당되고 라우트되는 방식의 비효율성으로 인해 훨씬 적다. 이와 같이, IPv4는 인터넷의 현재 팽창을 위한 고유 주소를 충분하게 제공하지 못한다. 새로운 버전의 인터넷 프로토콜(IPv6)은 128비트 주소 공간을 사용하여 더 많은 수의 IP 주소를 제공하지만, 이것이 널리 퍼져 사용될 때까지는 다른 기술이 IPv4의 주소 한도를 극복하고 인터넷 연결 컴퓨터에 보안 보호를 제공하기 위해 사용되어왔다.
오늘날 널리 사용되는 이러한 해결책 중 하나는 네트워크 주소 변환(NAT) 인데, 여기서 인터넷 네트워크에서 사용되는 AOL 또는 다른 인터넷 서비스 제공자(ISP)와 같은 개인 주소는 가입자의 컴퓨터가, 예를 들면 웹 서버와 같은 공중 인터넷 서버에 도달하여 연결될 필요가 있을 때만 공중 IP 주소로 변환된다. 임의의 시간에 인터넷을 통해 통신하는 컴퓨터의 수가 연결되어는 있지만 비활성인 컴퓨터의 총 수보다 훨씬 적다고 가정하면, 단지 현재 통신하는 것들만 NAT에 의해 공중 IP 주소가 할당되어, 필요한 IP 주소의 수를 감소시킨다. 이는 인터넷으로부터 개시된 연결을 통해 도달될 수 없는 NAT 라우터 또는 방화벽 너머의 컴퓨터에 제공된 익명성 덕분에 추가적인 보안도 제공한다.
NAT 라우터는 개인 네트워크 안의 클라이언트 머신이 안정된 IP 주소 및 영역 명칭 서비스 또는 서버(DNS) 명칭을 가진 공중 서버까지의 연결을 개시하는 클라이언트/서버 체계 주위에 주로 설계된다.
NAT 라우터 너머 인터넷 호스트의 익명성 및 비접속성은 단지 공중으로 사용이 가능한 서버에 진출 연결을 개시할 필요만 있는 웹 브라우저와 같은 클라이언트 소프트웨어에 대한 문제는 아니다. 그러나, 이는 파일 공유, 게임 응용 프로그램, 화상회의, IP상 음성 인터넷 전화 또는 인터넷으로부터 이들까지 직접 클라이언트가 연결하지 못하게 하는 컴퓨터 서버까지의 보안 접속과 같은 그들의 NAT 라우터를 통과하는 진입 연결을 통해 클라이언트까지 보안 연결을 서버에 요구하는 응용 프로그램에 대해서는 문제이다.
이 컴퓨터 중 하나가 NAT 라우터 너머에 있을 때, 다른 컴퓨터는 특수 기술 및 종종 연결 타입, 위치, 서비스 또는 NAT 라우터/방화벽 타입의 모든 변경에 대해 요구되는 복잡한 수동 구성을 사용하지 않고는 이에 연결할 수 없다.
그러므로 NAT에 의해 설정된 주소화 및 연결의 비대칭성은 a) 널리 사용할 수 있는 인터넷 서비스의 보안성을 월드 와이드 웹과 같은 진출 전용 응용 프로그램에 한정하고 b) 많은 소비 시장에 잠재적으로 매력적인 많은 추가 인터넷 응용 프로그램 및 서비스의 사용성 및 대량 시장 가용성을 현재 사용할 수 있는 NAT 및 NAT 횡단 기술에 의해 부과되는 복잡한 구성 및 시스템 관리 요구사항을 관리할 수 있는 더 적은 수의 직업적으로 훈련된 사용자로 한정하는 다수의 문제를 일으킨다.
그러므로, 본 발명의 목적은 전술한 단점을 극복하는 서버와 클라이언트 사이의 인터넷 연결을 자동으로 개시하고 동적으로 설정하는 방법 및 시스템을 제공하는 것이다.
본 발명의 실시예에 따르면, 본 방법 및 시스템은 양호하게는 보안 연결인 연결을 네트워크 주소 변환기 또는 변환(NAT) 라우터 또는 방화벽을 통해 비신뢰 네트워크(인터넷과 같은)에 모두 연결된 서버와 방화벽 보호 클라이언트 장치(클라이언트) 사이에 자동 및 동적으로 개시하고 설정한다. 본 발명의 보안 연결은 클라이언트 상에 어떠한 사용자 구성도 요구하지 않고 서버에 의해 클라이언트로부터의 어떠한 명시적 연결 요구 및/또는 패킷을 수용하지 않고 개시 및 설정되어, 유리하게도 서버 방화벽이 모든 진입 트래픽에 대해 항상 폐쇄된 채 있게 허용한다.
본 발명은 요구에 따라 서버와 클라이언트를 보안 연결하기 위해 인터넷 상에 동적 인스턴스화된 가상 점 대 점 네트워크 연결의 생성을 가능하게 하여, 유리하게도 전례없이 사용하기 용이한 서버에 대한 하나의 단일 행동 접속(one single action access)(하나의 마우스 클릭 또는 전원 켜기 또는 네트워크 플러그 꽂기 행동과 같은)을 통상의 사용자에게 제공한다.
본 발명의 실시예에 따르면, 전술한 것처럼 본 시스템 및 방법은 양호하게는 보안 연결인 서버와 클라이언트 사이의 연결을 설정하기 위해 요구되는 연결 파라미터를 보안 차단하기 위해 서버와 클라이언트 모두에 의해 독립적으로 신뢰받고 공중 IP 주소를 가진, 예를 들면 세션 제어 서버(SCS)와 같은 신뢰측인 가진 제3 컴퓨터를 사용한다. SCS는 서버/클라이언트 연결 설정에만 참여하고 이후 서버와 클라이언트 사이의 통신(즉, 메시지 교환)에는 관여하지 않는다. 따라서, 본 발명은 본 명세서에서 설명된 기술에 기초한 중계기 및 다른 서버와 연관된 성능 및 보안 문제를 방지한다.
클라이언트는 자신의 주소 및 랜덤하게 생성된 고유 식별자(각 서버에 대한 각 클라이언트 연결 요청에 대해 다름)를 포함하는 연결 요청을 SCS에 전송하여, 그렇지 않으면 NAT 라우터 및/또는 방화벽에 의해 숨겨지는 클라이언트의 연결 파라미터를 SCS에 제공한다. 클라이언트는 이 단계를 전원이 켜질 때, 임의의 새로운 NAT화 네트워크에 연결될 때, 그 네트워크 파라미터의 모든 변경시에 자동으로 항상 수행하도록 프로그램될 수 있어서, 어떠한 사용자 구성 또는 개입이 없이 서버와의 보안 연결을 자동 및 동적 개시/설정 및 재설정을 제공한다.
그리고 나서 SCS는 클라이언트와 서버 각각에 각자의 연결 파라미터를 제공하고, 그리고 나서 이는 먼저 클라이언트의 연결 파라미터가 서버에 전달되고 고유하게 식별되도록 이들 사이에 보안적으로 교환되고, 최종적으로 이전 단계의 성공적인 완료 후, 서버는 클라이언트의 NAT 라우터 또는 방화벽을 통한 클라이언트까지의 보안 연결을 개시하여, 외부적으로 개시된 연결이 클라이언트 NAT 라우터 또는 방화벽에 의해 부과된 진입 트래픽 제한을 보안적으로 극복하여 이루어질 수 있게 하고 서버가 자신의 NAT 라우터/방화벽을 비신뢰 네트워크로부터 오는 모든 진입 트래픽에 폐쇄된 채 유지할 수 있게 한다.
본 발명의 실시예에 따르면, 비신뢰 네트워크를 통해 보안 연결을 자동 개시 및 동적 설정하는 시스템은 방화벽 또는 네트워크 주소 변환기(NAT) 라우터를 통해 비신뢰 네트워크에 연결된 클라이언트 장치와, 방화벽을 통해 비신뢰 네트워크에 연결되고 어떠한 클라이언트 장치로부터 명시적 연결 요청 또는 패킷을 수용하지 않는 서버와, 클라이언트 장치를 구성하지 않고 서버와 클라이언트 장치 사이의 연결 파라미터를 교환하기 위해 비신뢰 네트워크에 연결된 신뢰 컴퓨터를 포함한다. 클라이언트 장치는 신뢰 컴퓨터를 통해 서버로부터 고유 연결 식별자를 수신한다. 서버의 방화벽은 클라이언트 장치와 서버 사이의 일시적 매핑을 동적으로 설정하기 위해 클라이언트 장치로부터 고유 연결 식별자를 포함하는 비요청 패킷(unsolicited packet)을 수신하다. 클라이언트 장치로부터 수신된 비요청 패킷의 고유 연결 식별자가 저장된 고유 연결 식별자와 일치하면, 서버는 비신뢰 네트워크를 통해 동적 설정된 일시적 매핑을 사용하여 클라이언트 장치로 응답 패킷을 전송하여, NAT 라우터를 통해 서버와 클라이언트 장치 사이에 보안 연결을 설정한다.
본 발명을 이해하기 위해서, 컴퓨터 보안에 대한 모든 진보에 있어서도 인터넷은 신뢰 접속 요소와 "용이한 사용성" 문제를 조화시키기가 어렵기 때문에 불가피하게 비보안 환경으로 남는다. 본 발명은 통상의 사용자가 부담을 느낄 많은 요소를 추가하지 않는, 실상 없애는 동시에, 부정 사용자가 정당한 사용자로서 가장할 수 있는 가능성을 제거하는 조직적 방법을 제공하여 이 문제의 핵심을 찌른다.
전술한 설명은 이하 본 발명의 상세한 설명이 더 잘 이해될 수 있도록 본 발명의 특징 및 기술적 유리함을 좀 넓게 묘사했다. 본 발명의 추가적인 특징 및 유리함은 본 발명의 청구의 범위의 요지를 형성하는 이하에서 설명될 것이다. 당업자는 개시된 특정 개념 및 실시예는 본 발명의 동일한 목적을 수행하기 위한 다른 구조를 변형 또는 설계하기 위한 기초로서 용이하게 사용될 수 있음을 알아야 한다. 또한, 당업자는 이러한 등가적 구성은 첨부된 청구의 범위에서 기술된 본 발명의 사상 및 범위를 벗어나지 않음을 알아야 한다. 다른 목적 및 유리함과 함께, 그 조직 및 동작의 방법에 대해, 본 발명의 특징으로 믿어지는 새로운 특징은 첨부된 도면과 연계하여 고려될 때 이하 설명으로부터 더 잘 이해될 것이다. 그러나, 도면의 각각은 단지 도시 및 설명의 목적으로 제공되었으며 본 발명의 한도를 정의하는 것으로 의도되지 않았음을 명백하게 이해해야 한다.
본 발명은 본 발명을 예시의 방식으로 설명하고 한정하는 것으로 의도되지 않는 상세한 설명을 참조함으로서 이해될 수 있으며, 첨부한 도면을 참조하여 가장 잘 이해될 것이다.
도 1은 NAT 또는 방화벽 너머의 비신뢰 네트워크에 연결된 여러 컴퓨터를 도시하는 예시적인 블럭도.
도 2-8은 본 발명의 실시예에 따라 각각 방화벽 또는 NAT 라우터 너머에 있는 서버와 클라이언트 사이의 연결을 자동 개시 및 동적 설명하는 단계를 도시하는 예시적인 블럭도.
본 발명의 실시예에 따르면, 시스템 및 방법은 서버와 방화벽 보호 클라이언트 장치 사이에 양호하게는 보안 연결인 연결을 자동 및 동적으로 개시 및 설정한다. 이제 도 1을 참조하면, 네트워크 주소 변환기 또는 변환 (NAT) 라우터 또는 방화벽(1300)을 통해 비신뢰 네트워크(1000)(인터넷과 같은)에 모두 연결된 서버(1100) 및 클라이언트 장치(클라이언트 1200)가 도시되어 있다. 서버와 클라이 언트 사이의 연결은 클라이언트(1200) 상에서 어떠한 사용자 구성을 요구하지 않고 서버(1100)에 의해 클라이언트(1200)로부터 어떠한 명시적 연결 요청 및/또는 패킷을 수용하지 않고 개시 및 설정되어, 서버 방화벽(1300)은 항상 모든 진입 트래픽에 폐쇄된 채 남도록 허용한다.
실시예에 따르면, 본 발명은, 예를 들면 독립적으로 신뢰되고 서버(1100)와 클라이언트(1200) 모두에 보안 연결되고 공중 IP 주소를 가진 세션 제어 서버(SCS)와 같은 신뢰측인 제3 컴퓨터(1400)를 사용한다. 클라이언트(1200)는 자신의 주소 및 랜덤하게 생성된 고유 식별자(서버에 대한 각 클라이언트 연결 요청에 대해 다름)를 포함하는 연결 요청을 SCS(1400)에 전송하여, 아니면 NAT 라우터(1300) 및/또는 방화벽(1300)에 의해 감춰지는 클라이언트의 연결 파라미터를 SCS(1400)에 제공한다. 본 발명의 일형태에 따르면, 클라이언트(1200)는 전원이 켜지거나, 임의의 새로운 NAT화 네트워크에 연결될 때, 그 네트워크 파라미터의 모든 변경시에 자동적으로 이 단계를 항상 수행하도록 프로그램될 수 있어서, 어떠한 사용자 구성 또는 개입 없이 서버(1100)와의 보안 연결을 자동 및 동적 개시/설정 및 재설정을 제공한다.
SCS(1400)는 각 클라이언트(1200) 및 서버(1100)에 각자의 연결 파라미터를 제공하고, 이는 이들 사이에 보안적으로 교환되어, 클라이언트의 연결 파라미터는 서버(1100)에 전달되고 고유하게 식별되고, 최종적으로 이전 단계의 성공적 완료 후, 서버(1100)는 클라이언트(1200)에 클라이언트의 NAT 라우터 또는 방화벽(1300)을 통해 보안 연결을 개시하여, 클라이언트 NAT 라우터 또는 방화벽(1300)에 의해 부과된 진입 트래픽 제한을 보안적으로 극복하고 서버가 자신의 NAT 라우터/방화벽(1300)을 비신뢰 네트워크로부터 오는 모든 진입 트래픽에 대해 폐쇄되게 유지할 수 있도록 허용하여 외부적으로 개시된 연결이 이루어질 수 있게 한다.
SCS는 서버/클라이언트 연결 설정에만 참여하고 이후 서버와 클라이언트 사이의 통신(즉, 메시지 교환)에는 개입하지 않는다. 따라서, 본 발명은 중계기와 다른 서버 기반 기술과 연관된 성능 및 보안 문제를 방지한다.
중계 기술은 클라이언트 서버 통신의 변형이고, 그들이 모두 연결될 수 있는 공중 IP 주소를 가진 서버를 사용하는 두 클라이언트에 의존한다. NAT 라우터 너머의 두 클라이언트는 서로 직접 연결을 할 수 없지만, 각각은 공중 IP 주소를 가진 서버에 연결을 할 수 있다. 서버는 중계기로서 작동하고 이는 하나의 클라이언트에서 다른 클라이언트로 메시지를 전달한다. 이 방법은 클라이언트 사이에서 모든 통신을 중계하기 위해서 서버 상에서 중계하여, 클라이언트에 연결하기 위해서 서버의 사용할 수 있는 처리력 및 사용할 수 있는 네트워크 대역폭을 사용할 필요가 있으므로, 그 성능 및 확장성은 이들 파라미터에 의존한다는 불리함을 가진다. 또한, 클라이언트간 데이터 통신의 복사가 서버 상에서 항상 일어나서, 추가적인 보안 위험을 야기한다.
UDP 천공 기술은 응용 프로그램이 NAT 라우터를 통해 "천공"하고 서로 직접 연결을 설정하게 허용하는 방화벽의 일반적인 행동에 기초한다.
본 발명의 예시적인 실시예에 따르면, 이하에서 비신뢰 네트워크(1000)를 통해 NAT 라우터 또는 방화벽(1300) 너머 서버(1100)와 클라이언트(1200) 사이의 보 안 연결을 자동으로 개시 및 설정하는 시스템, 방법, 컴퓨터 명령을 설명한다. 본 명세서에서 설명된 모든 상호작용은 인터넷과 같은 비신뢰 네트워크(1000) 상에서 일어남을 알자. 또한, 본 명세서에서 설명된 모든 상호작용은 비보안 연결상에서 일어날 수 있음을 알자. 본 발명의 예시적인 실시예에 따른 서버(1100)까지의 자동 및 동적 클라이언트측 연결은 도 2-8을 참조하여 이제 설명된다.
도 2에 도시된 것처럼, 서버(1100)는 단계(2000)에서 SCS(1400)까지의 보안 연결을 개시 및 설정(또는 영구 유지)한다. 본 발명의 일형태에 따르면, 이 연결은 IPSEC과 같은 네트워크 작업 계층(OSI 계층 3) 상에서 이루어질 수 있다. 본 발명의 다른 형태에 따르면, 보안 연결은 보안 소켓 계층(SSL)과 같은 응용 프로그램 계층(OSI 계층 7) 메커니즘을 사용할 수 있다. 서버(1100)와 SCS(1400) 사이의 모든 이후 통신은 이 보안 통신 채널 상에서 수행될 수 있다.
도 3에 도시된 것처럼, 클라이언트(1200)는 단계(2010)에서 SCS(1400)와의 보안 연결을 개시한다. 본 발명의 일형태에 따르면, 보안 연결은 보안 소켓 계층(SSL)과 같은 응용 프로그램 계층(OSI 계층 7) 메커니즘을 사용할 수 있다. 클라이언트(1200)와 SCS(1400) 사이의 모든 이후 통신은 이 보안 통신 채널 상에서 수행될 수 있다.
클라이언트(1200)는 도 4에 도시된 것처럼 단계(2020)에서 희망 서버(1100)에 연결될 SCS(1400)에 요청을 전송한다. 이는 사용자 요청과 같은 클라이언트 개시 이벤트의 결과이거나, 클라이언트(1200)는 전원이 켜지거나, 임의의 새로운 NAT화 네트워크에 연결될 때, 그 네트워크 파라미터의 모든 변경시에 자동적으로 이 단계를 항상 수행하도록 프로그램될 수 있어서, 어떠한 사용자 구성 또는 개입 없이 서버(1100)와의 보안 연결을 자동 및 동적 개시/설정 및 재설정을 제공한다.
SCS(1400)는 단계(2030)에서 특정 착신지 진입 포트(destination inbound port), 클라이언트 NAT의 공중 주소(public address)를 포함하는 고유 태그를 서버에 전송하고, 랜덤하게 생성된 연결 식별자(ID)를 서버(1400)로부터 수신한다. 본 발명의 실시예에 따르면, 서버(1100)에 의해 제공된 착신지 진입 포트는 클라이언트(1200)와의 보안 연결의 개시, 설정, 사용 내내 폐쇄된 채로 있음을 알자. 이 SCS 제공 정보를 사용하여, 도 5에 도시된 것처럼, 서버(1100)는 서버(1100)에 의해 클라이언트(1200)까지 이루어질 것처럼 보이는 연결의 자신측 말단을 구성한다. 이 구성의 성질은 이루어질 그러나 일반적으로 일부 키 생성 및 교환을 개입시킬 보안 연결의 성질에 의존한다. 예를 들면, 본 발명의 일형태에 따르면, 보안 연결은 IPSEC과 같은 네트워크 작업 계층(OSI 계층 3) 상에서 이루어질 수 있다. 본 발명의 다른 형태에 따르면, 보안 연결은 보안 소켓 계층(SSL)과 같은 응용 프로그램 계층(OSI 계층 7) 메커니즘을 사용할 수 있다.
SCS(1400)는 도 6에 도시된 것처럼 단계(2040)에서 ID를 포함하는 비요청 UDP 또는 TCP 패킷을 서버 제공 IP 주소 및 착신지 포트에 전송하도록 클라이언트(1200)에 명령한다. SCS(1400)는 서버(1100)에 의해 클라이언트(1200)에 이루어질 것 같은 보안 연결의 클라이언트 말단을 구성한다. 또한, 클라이언트측에 대해, 이 구성의 성질은 이루어질 그러나 일반적으로 일부 키 생성 및 교환을 개입시킬 보안 연결의 성질에 의존한다. 예를 들면, 본 발명의 일형태에 따르면, 보안 연결은 보안 소켓 계층(SSL)과 같은 응용 프로그램 계층(OSI 계층 7) 메커니즘을 사용할 수 있다.
클라이언트(1200)는 단계(2050)에서 SCS(1400)에 의해 제공된 서버 IP 주소 및 착신지 포트에 UDP 또는 TCP 패킷을 전송한다. 서버(1100) 및 서버의 방화벽(1300)이 클라이언트(1200)에 대해 여전히 폐쇄되어 있는 것을 알아야 한다. 이는 단계(2050)에서 클라이언트(1200)와 서버(1100) 사이에 클라이언트 NAT 라우터(1300)에서 일시적 매핑을 설정한다. 이 매핑은 클라이언트의 실제 IP 주소와 발신지 포트(개인측)와 NAT 가장 클라이언트 IP 주소와 발신지 포트(공중측) 사이의 변환을 포함한다. 이 매핑은 이것이 이루어진 후 짧은 시간 동안 유효하게 남아서, 생성되고 있는 매핑의 특정 시간 프레임 내에서 그 매핑에서 서버(1100)가 클라이언트(1200)까지 연결되게 허용한다.
단계(2050)에서 서버의 방화벽(1300)은 UDP 또는 TCP 패킷을 보고, 그 안의 ID와 NAT 공중 주소를 SCS(1400)으로부터의 것들과 비교한다. 이들이 일치하면, 서버의 방화벽(1300)은 그 이벤트에 대해 서버(1100)에 통지한다. 도 7에 도시된 것처럼, 서버의 방화벽(1300)은 단계(2050)에서 비요청 패킷을 항상 버리는데, 즉 패킷은 서버의 IP 스택에 절대 들어가지 않는다. 서버의 방화벽(1300)은 특정 착신지 포트 상의 진입 패킷이 문의 패킷인지 보기 위해서 계속 이들을 점검한다. 본 발명의 실시예에 따르면, 서버의 방화벽(1300)은 진정한 클라이언트(1200)를 가장하는 호스트에 의한 연결 요청과 같은 보안 공격에 대해 방비하기 위해서 태그의 모든 세 요소를 점검한다. 서버의 방화벽(1300)은 NAT 공중 주소로부터 특정 착신 지 포트까지 오고 랜덤하게 생성된 ID를 포함하는 패킷만을 고려할 것이다. 보안을 더 보장하기 위해서, UDP/TCP 패킷은 이 기술의 일부로서 암호화될 수 있다.
서버(1100)는 단계(2060)에서 서버의 방화벽(1300)에 의해 전달된 발신지 포트를 사용하여 클라이언트(1200)까지의 UDP 또는 TCP 연결을 개시한다. 단계(2050)에서 생성된 NAT 매핑은 적정 시간동안 유지됨을 알아야 한다(최소한 수 초지만 가능하면 UDP 또는 TCP 패킷이 수신된 후보다 길게). 본 발명의 일형태에 따르면, 서버(1100)는 도 8에 도시된 단계(2060)의 방식으로 NAT를 통해 클라이언트에 연결될 수 있다.
당업자는 전원 켜기, 한 번의 마우스 클릭 또는 한 번의 키 타자와 같은 하나의 단일 사용자 행동 이외의 어떠한 사용자 개입을 요구하지 않고서, 클라이언트(1200)가 다른 연결 위치로 이동할 때와 같이 그 네트워크 주소 파라미터 변동 후 클라이언트(1200)가 서버(1100)에 자동으로 연결되고 동적으로 재연결되는 것을 알 것이다. 결국, 본 발명의 실시예를 사용하여 클라이언트(1200)는 어떠한 사용자 정보를 인식하거나 서버(1100)에 연결될 어떠한 사용자 기능을 처리 또는 수행할 것이 요구되지 않음을 알 수 있다.
예를 사용하여, 본 발명의 실시예에 따르면, TCP/SSL를 통해 인터넷 상에서 서버(1100)와 스테이트리스(stateless) 클라이언트(1200) 사이의 보안 연결을 설정하기 위한 본 발명의 응용성을 알 것이다. 스테이트리스 클라이언트(1200)는 일반적으로 어떠한 사용자 기능도 수행하지 않거나 어떠한 사용자 데이터도 포함하지 않는 컴퓨터로서 정의된다. 더 상세하게, 스테이트리스 클라이언트(1200)는 CPU, 메모리, 프레임버퍼 및 네트워크 포트, 마우스 및 키보드 입력 및 선택적인 IO 포트를 포함하는 네트워크 기기로서 형성될 수 있다. 이는 네트워크 및 표시기 관리 교정 기능만을 수행하고 다른 소프트웨어의 어떠한 다운로드 또는 실행을 허용하지 않는 빌트인 소프트웨어에 의해 작동된다. 이는 어떠한 응용 프로그램도 실행하지 않는다. 그 유일한 목적은 원격 인간 인터페이스 장치가 되는 것이다. 빌트인 소프트웨어는 인터넷과 같은 네트워크상에서 서버와의 통신을 허용하기 위한 네트워크 스택을 구현한다.
클라이언트의 스테이트리스는 모든 실행이 서버측에 있는 응용 프로그램 또는 계산 환경과 상호작용하는 인간의 관계에 있다. 어떤 때에도 클라이언트에 존재하는 응용 프로그램 상태 또는 데이터가 없다. 그것이 가지는 유일한 상태는 임시적인 성질의 것이고 네트워크 연결에 관련된 것, 즉 TCP 연결 상태이다. 실시예에 따르면, 본 발명은 본 명세서에서 상세하게 설명된 것처럼 TCP 상에 보안 소켓 계층(SSL)을 구현하는 스테이트리스 클라이언트의 네트워크 스택만을 사용하고, 그러므로 임의의 환경에서 어떠한 사용자 기능도 수행할 수 없는 서버(1100)와 스테이트리스 클라이언트(1200) 사이의 보안 연결의 자동 및 동적 설정을 가능하게 한다.
스테이트리스 클라이언트(1200)는 SCS(1400)에 TCP/SSL을 통해 자동으로 연결하고 새로이 설정된 연결을 통해 요청 서버(1100)의 서버 명칭을 전송한다.
SCS(1400)는 스테이트리스 클라이언트 IP 주소를 소켓 연결로부터 검출한다. SCS(1400)는 요청 서버 명칭을 판독하고 그것이 희망 서버(1100)까지 연결을 가지 고 있는지 판정한다. SCS(1400)가 희망 서버(1100)와 이러한 연결을 가지고 있지 않으면, SCS(1400)는 이러한 연결을 얻을 때까지 대기하거나 스테이트리스 클라이언트(1200)가 나중에 재시도하도록 명령한다. 서버(1100)가 SCS(1400)에 연결되어 있으면, SCS(1400)는 스테이트리스 클라이언트 IP 주소를 서버(1100)에 전송한다. 서버(1100)는 스테이트리스 클라이언트 주소를 판독하고, 고유한 32비트 랜덤 수 식별자(ID)를 생성하고, SCS(1400)로 그 IP 주소 및 포트를 따라 ID를 전송한다. 그리고 나서 서버(1100)는 ID의 값으로 설정된 초기 시퀀스 수를 가진 스테이트리스 클라이언트의 공중 IP 주소로부터 "TCP SYN"(TCP 연결 요청) 패킷을 발견하도록 그 방화벽(1300)에 명령한다.
한편 SCS(1400)는 서버 IP 주소, 포트 및 ID를 스테이트리스 클라이언트(1200)에 전달한다. 이 점에서 스테이트리스 클라이언트(1200)는 ID의 값으로 설정된 초기 시퀀스 수를 가지고 서버 IP 주소 및 포트에 비요청 TCP 연결 요청을 생성한다. 이 진출 패킷은 서버(1100)까지의 경로 상의 모든 NAT를 미리 준비시키고, 또한 스테이트리스 클라이언트의 네트워크 스택의 하부에 SEQ 변환기 계층의 ID는 물론 서버 IP 주소 및 포트를 적층한다. 이러한 패킷이 서버(1100)에 도달하면, 서버의 방화벽(1300)은 일치를 찾고 다음의 세 태스크 a) 스테이트리스 클라이언트 주소/포트, 서버 주소/포트 및 시퀀스 수를 저장하기 b) 서버(1100)에 통지하고 스테이트리스 클라이언트 공중 포트를 제공하기 c) 패킷을 버리기를 수행한다.
서버(1100)는 이제 서버 방화벽(1300)을 통과할 스테이트리스 클라이언트 IP/포트에 TCP 연결을 연다. 서버의 방화벽(1300)은 진출 TCP 연결 요청(SYM 플래 그가 설정됨)을 보고 일치를 찾고 TCP ACK 플래그 및 확인통지 수를 설정한다. 외부적으로, 패킷은 스테이트리스 클라이언트(1200)로부터 수신된 비요청 TCP 연결 요청에 대한 응답처럼 보이고 이는 스테이트리스 클라이언트(1200)에 다시 NAT 게이트웨이를 통해 이동한다는 것을 알자.
이러한 패킷이 스테이트리스 클라이언트(1200)에 도달하면, SEQ 변환기 계층은 패킷을 맞춰보고, TCP ACK 플래그를 삭제하여 스테이트리스 클라이언트 TCP 스택이 서버(1100)로부터의 실제 연결 요청을 보는 것이다.
스테이트리스 클라이언트 TCP 스택은 연결을 수용하고, 설정된 SYN 및 ACK 플래그를 가진 TCP 패킷으로 응답한다. 이 TCP 패킷은 SYN 플래그를 삭제하고 스테이트리스 클라이언트 시퀀스 수와 미리 저장되어 있는 ID 사이의 차이를 저장하는 SEQ 변환기 계층에 의해 맞춰본다. 네트워크에서 이 TCP 패킷은 TCP 3방향 핸드쉐이크의 제3자처럼 보인다.
스테이트리스 클라이언트(1200)로부터의 TCP 패킷이 서버의 방화벽(1300)에 도달할 때, TCP 패킷은 맞춰보고 SYN 플래그는 설정된다. 이 TCP 패킷은 연결 요청에 대한 응답이므로 이는 서버의 방화벽(1300)을 통과한다. 서버(1100)로부터 나오는 실제 제3 TCP 핸드쉐이크 패킷은 정상적인 확인통지 패킷으로서 처리되므로 이는 변동없이 통과한다. 스테이트리스 클라이언트(1200)에서, 모든 도달 패킷은 미리 저장된 시퀀스 차이에 의해 조정된 그 확인통지 수를 얻고 모든 진출 패킷은 차이에 의해 조정된 그 시퀀스 수를 얻는다. 서버(1100)와 스테이트리스 클라이언트(1200) 사이의 연결의 종료에서 특수한 플래그 조작은 필요없음을 알자.
본 발명 및 그 유리함이 상세하게 설명되었지만, 다양한 변경예, 대체예, 대안예가 첨부된 청구의 범위에 의해 정의된 본 발명의 사상 및 범위를 벗어나지 않고 이루어질 수 있음을 알아야 한다. 또한, 본원의 범위는 명세서에 설명된 요소, 수단, 방법, 단계의 처리, 머신, 제조, 구성의 특정 실시예에 한정되는 것으로 의도되지 않는다. 당업자가 본 발명의 개시로부터 용이하게 알 수 있는 것처럼, 본 명세서에 설명된 해당 실시예와 실질적으로 동일한 기능을 수행하거나 실질적으로 동일한 결과를 달성하는 기존 또는 향후 개발될 요소, 수단, 방법 또는 단계의 처리, 머신, 제조, 구성은 본 발명에 따라 사용될 수 있다. 따라서, 첨부된 청구의 범위는 요소, 수단, 방법 또는 단계의 이러한 처리, 머신, 제조, 구성을 그 범위 내에 포함하는 것으로 의도된다.

Claims (31)

  1. 클라이언트와 어떠한 클라이언트로부터도 명시적 연결 요청 또는 패킷을 수용하지 않는 서버 사이의 비신뢰 네트워크(untrusted network)상의 보안 연결 -상기 클라이언트와 상기 서버 각각은 상기 비신뢰 네트워크에 방화벽 또는 네트워크 주소 변환기(NAT)라우터를 통해 연결됨- 을 상기 서버와 상기 클라이언트 모두에 의해 신뢰받는 제3자 컴퓨터를 사용하여 자동 개시 및 동적 설정하는 방법에 있어서,
    전원을 켤 때, 상기 비신뢰 네트워크에 연결할 때, 또는 상기 클라이언트의 네트워크 파라미터의 임의의 변동 시에 상기 클라이언트의 사용자에 의한 하나의 단일 행동 후 상기 클라이언트에 의해 연결 요청 -상기 연결 요청은 상기 서버에 연결되기 위한 요청을 포함함- 을 상기 제3자 컴퓨터에 자동으로 전송하는 단계와,
    상기 제3자 컴퓨터를 사용하여 상기 서버와 상기 클라이언트 사이에 상기 비신뢰 네트워크를 통해 연결 파라미터 - 상기 연결 파라미터는 상기 클라이언트와 연관된 NAT 라우터를 통해 상기 서버와 상기 클라이언트 사이에 보안 연결을 설정하기 위한 고유 연결 식별자를 포함함 - 를 교환하는 단계를 포함하여,
    상기 서버로의 하나의 단일 행동 접속(one single action access)을 상기 클라이언트의 상기 사용자에게 제공하는 방법.
  2. 제1항에 있어서,
    상기 클라이언트와 상기 서버 사이에 일시 매핑(transient mapping)을 동적으로 설정하기 위해서 상기 서버와 연관된 방화벽에 의해 상기 클라이언트로부터 상기 고유 연결 식별자를 포함하는 비요청 패킷(unsolicited packet)을 수신하는 단계와,
    상기 비요청 패킷의 상기 고유 연결 식별자가 저장된 고유 연결 식별자와 일치한다고 판정되면 상기 서버에 의해 상기 비신뢰 네트워크 상에서 상기 동적으로 설정된 일시 매핑을 사용하여 상기 클라이언트에게 응답 패킷을 전송하는 단계를 더 포함하는 방법.
  3. 제1항에 있어서,
    상기 제3자 컴퓨터로부터 상기 클라이언트의 착신지 진입 포트(destination inbound port) 및 상기 클라이언트와 연관된 상기 NAT 라우터의 공중 주소(public address)를 상기 서버에 의해 수신하는 단계와,
    상기 서버의 착신지 포트 및 상기 서버와 연관된 상기 방화벽의 IP 주소 및 상기 클라이언트에 대한 상기 고유 연결 식별자를 상기 서버에 의해 상기 제3자 컴퓨터에 전송하는 단계를 더 포함하는 방법.
  4. 제3항에 있어서,
    상기 제3자 컴퓨터로부터 상기 서버의 상기 착신지 포트 및 상기 서버와 연관된 상기 방화벽의 IP 주소를 사용하여 상기 비요청 패킷을 상기 서버에 전송하기 위한 명령을 상기 클라이언트에 의해 수신하는 단계와,
    상기 비요청 패킷이 상기 클라이언트와 연관된 상기 NAT 라우터의 상기 공중 주소로부터 상기 서버의 상기 착신지 포트 상에서 수신되었다고 판정되면 상기 응답 패킷을 상기 클라이언트에 상기 서버에 의해 전송하는 단계를 더 포함하는 방법.
  5. 제3항에 있어서, 상기 제3자 컴퓨터로부터 수신된 상기 클라이언트의 상기 착신지 진입 포트를 사용하여 상기 클라이언트에의 상기 보안 연결을 상기 서버에 의해 개시하는 단계를 더 포함하는 방법.
  6. 제2항에 있어서, 상기 수신 단계는 상기 클라이언트로부터의 상기 고유 연결 식별자를 포함하는 비요청 UDP 또는 TCP 패킷을 상기 서버와 연관된 상기 방화벽에 의해 수신하는 단계를 포함하는 방법.
  7. 클라이언트와 어떠한 클라이언트로부터도 명시적 연결 요청 또는 패킷을 수용하지 않는 서버 사이의 비신뢰 네트워크상의 보안 연결 - 상기 클라이언트와 상기 서버 각각은 상기 비신뢰 네트워크에 방화벽 또는 네트워크 주소 변환기(NAT) 라우터를 통해 연결됨 - 을 상기 서버와 상기 클라이언트 모두에 의해 신뢰받는 제3자 컴퓨터를 사용하여 자동 개시 및 동적 설정하는 방법에 있어서,
    상기 제3자 컴퓨터를 사용하여 고유 연결 식별자를 포함하는 연결 파라미터 를 상기 서버와 상기 클라이언트 사이에 상기 비신뢰 네트워크상에서 교환하는 단계와,
    상기 클라이언트와 상기 서버 사이에 일시 매핑을 동적으로 설정하기 위해 상기 서버와 연관된 방화벽에 의해 상기 클라이언트로부터의 상기 고유 연결 식별자를 포함하는 비요청 패킷을 수신하는 단계와,
    상기 비요청 패킷의 상기 고유 연결 식별자가 저장된 고유 연결 식별자와 일치한다고 판정되면 상기 서버에 의해 상기 비신뢰 네트워크상에서 상기 동적으로 설정된 일시 매핑을 사용하여 상기 클라이언트에게 응답 패킷을 전송하여, 상기 클라이언트와 연관된 NAT 라우터를 통해 상기 서버와 상기 클라이언트 사이에 보안 연결을 설정하는 단계
    를 포함하는 방법.
  8. 제7항에 있어서,
    상기 제3자 컴퓨터로부터 상기 클라이언트의 착신지 진입 포트 및 상기 클라이언트와 연관된 상기 NAT 라우터의 공중 주소를 상기 서버에 의해 수신하는 단계와,
    상기 서버의 착신지 포트 및 상기 서버와 연관된 상기 방화벽의 IP 주소 및 상기 클라이언트에 대한 상기 고유 연결 식별자를 상기 서버에 의해 상기 제3자 컴퓨터에 전송하는 단계를 더 포함하는 방법.
  9. 제8항에 있어서,
    상기 제3자 컴퓨터로부터 상기 서버의 상기 착신지 포트 및 상기 서버와 연관된 상기 방화벽의 IP 주소를 사용하여 상기 비요청 패킷을 상기 서버에 전송하기 위한 명령을 상기 클라이언트에 의해 수신하는 단계와,
    상기 비요청 패킷이 상기 클라이언트와 연관된 상기 NAT 라우터의 상기 공중 주소로부터 상기 서버의 상기 착신지 포트 상에서 수신되었다고 판정되면 상기 응답 패킷을 상기 서버에 의해 상기 클라이언트에 전송하는 단계를 더 포함하는 방법.
  10. 제8항에 있어서, 상기 제3자 컴퓨터로부터 수신된 상기 클라이언트의 상기 착신지 진입 포트를 사용하여 상기 클라이언트에 상기 보안 연결을 상기 서버에 의해 개시하는 단계를 더 포함하는 방법.
  11. 제7항에 있어서, 상기 수신 단계는 상기 클라이언트로부터 상기 고유 연결 식별자를 포함하는 비요청 UDP 또는 TCP 패킷을 상기 서버와 연관된 상기 방화벽에 의해 수신하는 단계를 포함하는 방법.
  12. 제7항에 있어서, 상기 제3자 컴퓨터에 상기 클라이언트에 의해 연결 요청을 전송하는 단계를 더 포함하고, 상기 연결 요청은 상기 서버에 연결되기 위한 요청을 포함하는 방법.
  13. 제12항에 있어서, 전원을 켤 때, 상기 비신뢰 네트워크에 연결할 때, 상기 클라이언트의 네트워크 파라미터의 임의의 변동 시에 상기 클라이언트의 사용자에 의한 하나의 단일 행동 후 상기 클라이언트에 의해 상기 제3자 컴퓨터에 상기 연결 요청을 자동으로 전송하여, 상기 클라이언트의 사용자에게 상기 서버로의 하나의 단일 행동 접속을 제공하는 단계를 더 포함하는 방법.
  14. 클라이언트와 어떠한 클라이언트로부터도 명시적 연결 요청 또는 패킷을 수용하지 않는 서버 사이의 비신뢰 네트워크상의 보안 연결을 상기 서버와 상기 클라이언트 모두에 의해 신뢰받는 제3자 컴퓨터를 사용하여 자동 개시 및 동적 설정하는 시스템에 있어서,
    상기 클라이언트와 상기 서버의 각각은 방화벽 또는 네트워크 주소 변환기(NAT) 를 통해 상기 비신뢰 네트워크에 연결되어 있고,
    상기 클라이언트는 전원을 켤 때, 상기 비신뢰 네트워크에 연결할 때 또는 상기 클라이언트의 네트워크 파라미터의 임의의 변동시에 상기 클라이언트의 사용자에 의한 하나의 단일 행동 후 상기 제3자 컴퓨터에 연결 요청 - 상기 연결 요청은 상기 서버에 연결되기 위한 요청을 포함함 - 을 자동적으로 전송하도록 동작가능하고,
    상기 서버 및 상기 클라이언트는 상기 제3자 컴퓨터를 사용하여 상기 비신뢰 네트워크상에서 연결 파라미터 - 상기 연결 파라미터는 상기 클라이언트와 연관된 NAT 라우터를 통해 상기 서버와 상기 클라이언트 사이에 보안 연결을 설정하기 위한 고유 연결 식별자를 포함함 - 를 교환하도록 동작가능하여,
    상기 서버로의 하나의 단일 행동 접속을 상기 클라이언트의 상기 사용자에게 제공하는 시스템.
  15. 제14항에 있어서, 상기 서버와 연관된 방화벽은 상기 클라이언트와 상기 서버 사이에 일시 매핑을 동적으로 설정하기 위해 상기 클라이언트로부터 상기 고유 연결 식별자를 포함하는 비요청 패킷을 수신하도록 동작가능하고, 상기 서버는 상기 비요청 패킷의 상기 고유 연결 식별자가 저장된 고유 연결 식별자와 일치한다고 판정되면, 상기 비신뢰 네트워크상에서 상기 동적으로 설정된 일시 매핑을 사용하여 상기 클라이언트로 응답 패킷을 전송하도록 동작가능한 시스템.
  16. 제14항에 있어서, 상기 서버는,
    상기 제3자 컴퓨터로부터 상기 클라이언트의 착신지 진입 포트 및 상기 클라이언트와 연관된 상기 NAT 라우터의 공중 주소를 상기 서버에 의해 수신하는 단계와,
    상기 서버의 착신지 포트 및 상기 서버와 연관된 상기 방화벽의 IP 주소 및 상기 클라이언트에 대한 상기 고유 연결 식별자를 상기 서버에 의해 상기 제3자 컴퓨터에 전송하는 단계를 더 포함하는 제1항의 방법을 수용하도록 동작가능한 시스템.
  17. 제16항에 있어서, 상기 클라이언트는 상기 제3자 컴퓨터로부터 상기 서버의 상기 착신지 포트 및 상기 서버와 연관된 상기 방화벽의 상기 IP 주소를 사용하여 상기 서버에 상기 비요청 패킷을 전송하기 위한 명령을 수신하도록 동작가능하고, 상기 서버는 상기 비요청 패킷이 상기 클라이언트와 연관된 상기 NAT 라우터의 상기 공중 주소로부터 상기 서버의 상기 착신지 포트 상에 수신되었다고 판정되면 상기 클라이언트에게 상기 응답 패킷을 전송하도록 동작가능한 시스템.
  18. 제16항에 있어서, 상기 서버는 상기 제3자 컴퓨터로부터 수신된 상기 클라이언트의 상기 착신지 진입 포트를 사용하여 상기 클라이언트에의 상기 보안 연결을 개시하도록 동작가능한 시스템.
  19. 제15항에 있어서, 상기 서버는 상기 클라이언트로부터의 상기 고유 연결 식별자를 포함하는 비요청 UDP 또는 TCP 패킷을 수신하도록 동작가능한 시스템.
  20. 제14항에 있어서, 상기 클라이언트는 어떠한 사용자 기능도 수행하지 않고 어떠한 사용자 데이터도 포함하지 않는 스테이트리스(stateless) 클라이언트인 시스템.
  21. 제14항에 있어서, 상기 클라이언트는 단일 기능 네트워크 인식 고객 장치인 시스템.
  22. 제21항에 있어서, 상기 단일 기능 네트워크 인식 고객 장치는 셀룰러 전화, 음악 재생기/녹음기, 비디오 재생기/녹화기, 게임 플레이어, 또는 휴대용 이메일 장치 중 하나인 시스템.
  23. 클라이언트와 어떠한 클라이언트로부터도 명시적 연결 요청 또는 패킷을 수용하지 않는 서버 사이의 비신뢰 네트워크상의 보안 연결을 상기 서버와 상기 클라이언트 모두에 의해 신뢰받는 제3자 컴퓨터를 사용하여 자동 개시 및 동적 설정하는 시스템에 있어서,
    상기 클라이언트와 상기 서버의 각각은 방화벽 또는 네트워크 주소 변환기(NAT) 를 통해 상기 비신뢰 네트워크에 연결되어 있고,
    상기 서버와 상기 클라이언트는 상기 제3자 컴퓨터를 사용하여 상기 비신뢰 네트워크상에서 연결 파라미터 - 상기 연결 파라미터는 고유 연결 식별자를 포함함 - 를 교환하도록 동작가능하고,
    상기 서버와 연관된 상기 방화벽은 상기 클라이언트와 상기 서버 사이의 일시 매핑을 동적으로 설정하기 위해 상기 클라이언트로부터 상기 고유 연결 식별자를 포함하는 비요청 패킷을 수신하도록 동작가능하고,
    상기 서버는 상기 비요청 패킷의 상기 고유 연결 식별자가 저장된 고유 연결 식별자와 일치하면 상기 비신뢰 네트워크상에서 상기 동적으로 설정된 일시 매핑을 사용하여 상기 클라이언트로 응답 패킷을 전송하도록 동작가능하여, 상기 클라이언트와 연관된 상기 NAT 라우터를 통해 상기 서버와 상기 클라이언트 사이의 보안 연결을 설정하는 시스템.
  24. 제23항에 있어서, 상기 서버는 상기 제3자 컴퓨터로부터 상기 클라이언트의 착신지 진입 포트 및 상기 클라이언트와 연관된 상기 NAT 라우터의 공중 주소를 수신하도록 동작가능하고, 상기 클라이언트는 상기 제3자 컴퓨터로부터 상기 서버의 착신지 포트 및 IP 주소 및 상기 고유 연결 식별자를 수신하도록 동작가능한 시스템.
  25. 제24항에 있어서, 상기 클라이언트는 상기 제3자 컴퓨터로부터 상기 서버에 상기 비요청 패킷을 전송하기 위한 명령을 수신하도록 동작가능하고, 상기 서버는 상기 비요청 패킷이 상기 클라이언트와 연관된 상기 NAT 라우터의 상기 공중 주소로부터 상기 서버의 상기 착신지 포트 상에서 수신되었다고 판정되면 상기 클라이언트에 응답 패킷을 전송하도록 동작가능한 시스템.
  26. 제23항에 있어서, 상기 서버는 상기 제3자 컴퓨터로부터 수신된 상기 클라이언트의 상기 착신지 진입 포트를 사용하여 상기 클라이언트에 상기 보안 연결을 개시하도록 동작가능한 시스템.
  27. 제23항에 있어서, 상기 클라이언트는 어떠한 사용자 기능도 수행하지 않고 어떠한 사용자 데이터도 포함하지 않는 스테이트리스 클라이언트인 시스템.
  28. 제23항에 있어서, 상기 클라이언트는 단일 기능 네트워크 인식 고객 장치인 시스템.
  29. 제28항에 있어서, 상기 단일 기능 네트워크 인식 고객 장치는 셀룰러 전화, 음악 재생기/녹음기, 비디오 재생기/녹화기, 게임 플레이어, 또는 휴대용 이메일 장치 중 하나인 시스템.
  30. 제23항에 있어서, 상기 클라이언트는 상기 제3자 컴퓨터에 연결 요청을 전송하도록 동작가능하고, 상기 연결 요청은 상기 서버에 연결되기 위한 요청을 포함하는 시스템.
  31. 제30항에 있어서, 상기 클라이언트는 전원을 켤 때, 상기 비신뢰 네트워크에 연결할 때, 또는 상기 클라이언트의 네트워크 파라미터의 임의의 변동시 상기 클라이언트의 사용자에 의한 하나의 단일 행동 후 상기 연결 요청을 상기 제3자 컴퓨터에 자동적으로 전송하도록 동작가능하여, 상기 서버로의 하나의 단일 행동 접속을 상기 클라이언트의 상기 사용자에게 제공하는 시스템.
KR1020067023609A 2004-04-12 2005-04-12 방화벽 보호 서버와 방화벽 보호 클라이언트 사이에 보안인터넷 연결을 자동으로 개시하고 동적으로 설정하는시스템 및 방법 KR20070041438A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US56180604P 2004-04-12 2004-04-12
US60/561,806 2004-04-12

Publications (1)

Publication Number Publication Date
KR20070041438A true KR20070041438A (ko) 2007-04-18

Family

ID=35150655

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067023609A KR20070041438A (ko) 2004-04-12 2005-04-12 방화벽 보호 서버와 방화벽 보호 클라이언트 사이에 보안인터넷 연결을 자동으로 개시하고 동적으로 설정하는시스템 및 방법

Country Status (9)

Country Link
US (3) US20050238034A1 (ko)
EP (1) EP1738530A2 (ko)
JP (2) JP2008505512A (ko)
KR (1) KR20070041438A (ko)
CN (1) CN101095134A (ko)
AU (1) AU2005234496A1 (ko)
BR (1) BRPI0509900A (ko)
CA (1) CA2562912A1 (ko)
WO (1) WO2005101747A2 (ko)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004023263A2 (en) * 2002-09-09 2004-03-18 Netrake Corporation System for allowing network traffic through firewalls
JP4421946B2 (ja) * 2004-05-31 2010-02-24 京セラ株式会社 通信端末装置およびその通信方法
US20060072569A1 (en) * 2004-10-04 2006-04-06 Wizzysoft Corporation Network address translation protocol for transmission control protocol connections
JP4978895B2 (ja) * 2005-03-22 2012-07-18 日本電気株式会社 接続パラメータ設定システム、その方法及びサーバ
CA2612017A1 (en) * 2005-06-23 2007-01-04 Xds, Inc. Methods and apparatus for network address change for mobile devices
NO20055084L (no) * 2005-10-31 2007-05-02 Telenor Asa System og fremgangsmate for etablering av en forbindelse mellom en klient i et nettverk og en web-tjeneste i et annet nettverk
US8788706B2 (en) * 2006-02-27 2014-07-22 Vudu, Inc. Method and system for managing data transmission between devices behind network address translators (NATs)
US7706373B2 (en) * 2006-11-01 2010-04-27 Nuvoiz, Inc. Session initiation and maintenance while roaming
US20080209039A1 (en) * 2006-12-21 2008-08-28 Simtone Corporation Service chaining methods and apparatus
US20080225749A1 (en) * 2007-03-13 2008-09-18 Dennis Peng Auto-configuration of a network device
US10469556B2 (en) * 2007-05-31 2019-11-05 Ooma, Inc. System and method for providing audio cues in operation of a VoIP service
US9225626B2 (en) 2007-06-20 2015-12-29 Ooma, Inc. System and method for providing virtual multiple lines in a communications system
US7707294B2 (en) * 2007-06-26 2010-04-27 Microsoft Corporation Edge traversal service dormancy
US8056890B2 (en) * 2007-07-02 2011-11-15 William Thomas Engel Cut mat
US20090168755A1 (en) * 2008-01-02 2009-07-02 Dennis Peng Enforcement of privacy in a VoIP system
US8515021B2 (en) * 2008-02-25 2013-08-20 Ooma, Inc. System and method for providing personalized reverse 911 service
US8374188B2 (en) * 2008-06-24 2013-02-12 Microsoft Corporation Techniques to manage a relay server and a network address translator
ES2704473T3 (es) 2009-02-06 2019-03-18 Xmedius Solutions Inc Atravesamiento de NAT usando perforación de agujero
KR20100134433A (ko) * 2009-06-15 2010-12-23 엘지전자 주식회사 기능 제어부를 갖는 이동 단말기
US20110219443A1 (en) * 2010-03-05 2011-09-08 Alcatel-Lucent Usa, Inc. Secure connection initiation with hosts behind firewalls
US8681973B2 (en) * 2010-09-15 2014-03-25 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for performing homomorphic encryption and decryption on individual operations
JP5760736B2 (ja) 2011-06-22 2015-08-12 富士通株式会社 通信装置
US9774916B2 (en) * 2011-11-10 2017-09-26 Throughtek Technology (Shenzhen) Co., Ltd. Information concentrating center capable of making P2P connections with remote client devices
JP5835846B2 (ja) * 2012-08-29 2015-12-24 株式会社日立製作所 ネットワークシステム及び仮想ノードのマイグレーション方法
US9166952B2 (en) * 2012-10-15 2015-10-20 Thales Canada Inc Security device bank and a system including the and SD security device bank
CN102946387B (zh) * 2012-11-01 2016-12-21 惠州Tcl移动通信有限公司 一种防御拒接服务攻击的方法
US9398050B2 (en) 2013-02-01 2016-07-19 Vidder, Inc. Dynamically configured connection to a trust broker
US20140247941A1 (en) * 2013-03-01 2014-09-04 Oplink Communications, Inc. Self-configuring wireless network
US9386010B2 (en) * 2013-05-02 2016-07-05 Globalfoundries Inc. Abstracted authenticated client connectivity application programming interface (API)
US9386148B2 (en) 2013-09-23 2016-07-05 Ooma, Inc. Identifying and filtering incoming telephone calls to enhance privacy
US9560198B2 (en) 2013-09-23 2017-01-31 Ooma, Inc. Identifying and filtering incoming telephone calls to enhance privacy
TWI566592B (zh) * 2014-01-07 2017-01-11 物聯智慧科技(深圳)有限公司 能與遠端客戶裝置建立點對點連接之信息聚集中心
US10553098B2 (en) 2014-05-20 2020-02-04 Ooma, Inc. Appliance device integration with alarm systems
US10769931B2 (en) 2014-05-20 2020-09-08 Ooma, Inc. Network jamming detection and remediation
US9633547B2 (en) 2014-05-20 2017-04-25 Ooma, Inc. Security monitoring and control
US11330100B2 (en) 2014-07-09 2022-05-10 Ooma, Inc. Server based intelligent personal assistant services
US9288272B2 (en) * 2014-07-10 2016-03-15 Real Innovations International Llc System and method for secure real-time cloud services
US10911368B2 (en) 2015-05-08 2021-02-02 Ooma, Inc. Gateway address spoofing for alternate network utilization
US10771396B2 (en) 2015-05-08 2020-09-08 Ooma, Inc. Communications network failure detection and remediation
US10009286B2 (en) 2015-05-08 2018-06-26 Ooma, Inc. Communications hub
US11171875B2 (en) 2015-05-08 2021-11-09 Ooma, Inc. Systems and methods of communications network failure detection and remediation utilizing link probes
US9521069B2 (en) 2015-05-08 2016-12-13 Ooma, Inc. Managing alternative networks for high quality of service communications
US10116796B2 (en) 2015-10-09 2018-10-30 Ooma, Inc. Real-time communications-based internet advertising
US10021117B2 (en) * 2016-01-04 2018-07-10 Bank Of America Corporation Systems and apparatus for analyzing secure network electronic communication and endpoints
US10469262B1 (en) 2016-01-27 2019-11-05 Verizon Patent ad Licensing Inc. Methods and systems for network security using a cryptographic firewall
CN106096923A (zh) * 2016-06-27 2016-11-09 联想(北京)有限公司 一种安全支付防护方法及电子设备
TWI608749B (zh) * 2016-08-31 2017-12-11 群暉科技股份有限公司 用來控制一客戶端裝置存取一網路裝置之方法以及控制裝置
US10554480B2 (en) 2017-05-11 2020-02-04 Verizon Patent And Licensing Inc. Systems and methods for maintaining communication links
US10917384B2 (en) * 2017-09-12 2021-02-09 Synergex Group Methods, systems, and media for modifying firewalls based on dynamic IP addresses
US11625505B2 (en) * 2019-08-19 2023-04-11 Microsoft Technology Licensing, Llc Processor with network stack domain and system domain using separate memory regions
US11201925B2 (en) 2020-04-28 2021-12-14 Caterpillar Inc. Communicating parameters based on a change
EP4002798A1 (de) * 2020-11-17 2022-05-25 Wobben Properties GmbH Verfahren zum herstellen einer datenverbindung zu einem windpark sowie windparkkommunikationssystem
CN114598532B (zh) * 2022-03-11 2023-07-28 北京百度网讯科技有限公司 连接建立方法、装置、电子设备和存储介质

Family Cites Families (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA1341310C (en) * 1988-07-15 2001-10-23 Robert Filepp Interactive computer network and method of operation
US5623605A (en) * 1994-08-29 1997-04-22 Lucent Technologies Inc. Methods and systems for interprocess communication and inter-network data transfer
US5621660A (en) * 1995-04-18 1997-04-15 Sun Microsystems, Inc. Software-based encoder for a software-implemented end-to-end scalable video delivery system
US5918051A (en) * 1995-07-19 1999-06-29 Ricoh Company, Ltd. Object-oriented communication system with support for multiple remote machine types
US7092369B2 (en) * 1995-11-17 2006-08-15 Symbol Technologies, Inc. Communications network with wireless gateways for mobile terminal access
US7130888B1 (en) * 1996-02-16 2006-10-31 G&H Nevada-Tek Method and apparatus for controlling a computer over a TCP/IP protocol network
US5802178A (en) * 1996-07-30 1998-09-01 Itt Industries, Inc. Stand alone device for providing security within computer networks
US5896499A (en) * 1997-02-21 1999-04-20 International Business Machines Corporation Embedded security processor
US6154843A (en) * 1997-03-21 2000-11-28 Microsoft Corporation Secure remote access computing system
US6104716A (en) * 1997-03-28 2000-08-15 International Business Machines Corporation Method and apparatus for lightweight secure communication tunneling over the internet
US6202156B1 (en) * 1997-09-12 2001-03-13 Sun Microsystems, Inc. Remote access-controlled communication
GB2330034A (en) * 1997-10-01 1999-04-07 Northern Telecom Ltd A narrowband to broadband interface for a communications system
US6425005B1 (en) * 1997-10-06 2002-07-23 Mci Worldcom, Inc. Method and apparatus for managing local resources at service nodes in an intelligent network
US6362836B1 (en) * 1998-04-06 2002-03-26 The Santa Cruz Operation, Inc. Universal application server for providing applications on a variety of client devices in a client/server network
US6104392A (en) * 1997-11-13 2000-08-15 The Santa Cruz Operation, Inc. Method of displaying an application on a variety of client devices in a client/server network
US6085247A (en) * 1998-06-08 2000-07-04 Microsoft Corporation Server operating system for supporting multiple client-server sessions and dynamic reconnection of users to previous sessions using different computers
US6216157B1 (en) * 1997-11-14 2001-04-10 Yahoo! Inc. Method and apparatus for a client-server system with heterogeneous clients
DE69840658D1 (de) * 1997-11-14 2009-04-23 Microsoft Corp Serverbetriebssystem zur Unterstützung von mehreren Client-Serverssitzungen und dynamischer Wiederverbindung der Benutzer an vorhergehenden Sitzungen
US6038616A (en) * 1997-12-15 2000-03-14 Int Labs, Inc. Computer system with remotely located interface where signals are encoded at the computer system, transferred through a 4-wire cable, and decoded at the interface
US6178438B1 (en) * 1997-12-18 2001-01-23 Alcatel Usa Sourcing, L.P. Service management system for an advanced intelligent network
US6044403A (en) * 1997-12-31 2000-03-28 At&T Corp Network server platform for internet, JAVA server and video application server
US6038301A (en) * 1997-12-31 2000-03-14 Alcatel Usa Sourcing, L.P. Method and system for engineering a service in an advanced intelligent network
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
US6510216B1 (en) * 1998-03-23 2003-01-21 Mci Communications Corporation Intelligent network provisioning system and method
US6223289B1 (en) * 1998-04-20 2001-04-24 Sun Microsystems, Inc. Method and apparatus for session management and user authentication
US6438141B1 (en) * 1998-04-20 2002-08-20 Sun Microsystems, Inc. Method and management of communications over media of finite bandwidth
US6230296B1 (en) * 1998-04-20 2001-05-08 Sun Microsystems, Inc. Method and apparatus for providing error correction
US6209031B1 (en) * 1998-07-17 2001-03-27 International Business Machines Corporation Configuring computer network operations based upon a sequence of interactive user entries into a network server computer with a one time entry of data commonly required by multiple clients
US6393605B1 (en) * 1998-11-18 2002-05-21 Siebel Systems, Inc. Apparatus and system for efficient delivery and deployment of an application
US7143093B1 (en) * 1998-12-17 2006-11-28 Webmethods, Inc. Enterprise computer system
US6505248B1 (en) * 1999-03-24 2003-01-07 Gte Data Services Incorporated Method and system for monitoring and dynamically reporting a status of a remote server
US6591306B1 (en) * 1999-04-01 2003-07-08 Nec Corporation IP network access for portable devices
US6711610B1 (en) * 1999-09-10 2004-03-23 International Business Machines Corporation System and method for establishing secure internet communication between a remote computer and a host computer via an intermediate internet computer
US6874088B1 (en) * 1999-10-22 2005-03-29 Mission Critical Linux, Llc Secure remote servicing of a computer system over a computer network
US6886103B1 (en) * 1999-10-28 2005-04-26 Lucent Technologies Inc. Method and apparatus for extending network address translation for unsupported protocols
US6643701B1 (en) * 1999-11-17 2003-11-04 Sun Microsystems, Inc. Method and apparatus for providing secure communication with a relay in a network
GB2357226B (en) * 1999-12-08 2003-07-16 Hewlett Packard Co Security protocol
GB2357227B (en) * 1999-12-08 2003-12-17 Hewlett Packard Co Security protocol
US7103770B2 (en) * 2000-01-27 2006-09-05 Web Data Solutions, Inc. Point-to-point data streaming using a mediator node for administration and security
US6981041B2 (en) * 2000-04-13 2005-12-27 Aep Networks, Inc. Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities
US20010042202A1 (en) * 2000-04-14 2001-11-15 Horvath Charles J. Dynamically extendible firewall
CA2309398C (en) * 2000-05-24 2012-02-21 Steven P. Meyer A system, computer product and method for providing a private communication portal
US20020065949A1 (en) * 2000-06-14 2002-05-30 Dennis Heaton Virtual network computing
US7278142B2 (en) * 2000-08-24 2007-10-02 Veritas Operating Corporation Dynamic computing environment using remotely allocable resources
US6915347B2 (en) * 2000-10-17 2005-07-05 Sun Microsystems, Inc. Associating multiple display units in a grouped server environment
US7035828B2 (en) * 2000-10-25 2006-04-25 Topmoxie, Inc. Method and system for modifying and transmitting data between a portable computer and a network
US7003668B2 (en) * 2000-11-03 2006-02-21 Fusionone, Inc. Secure authentication of users via intermediate parties
US6944860B2 (en) * 2001-01-16 2005-09-13 Sun Microsystems, Inc. Method and apparatus for representing and encapsulating active computing environments
DE60210927T3 (de) * 2001-02-20 2012-03-15 Eyeball Networks Inc. Verfahren und Vorrichtung zur Zulassung der Datenübertragung über Firewalls
US7082614B2 (en) * 2001-03-08 2006-07-25 Sun Microsystems, Inc. System for identification of smart cards
US6999912B2 (en) * 2001-03-13 2006-02-14 Microsoft Corporation Provisioning computing services via an on-line networked computing environment
US6931449B2 (en) * 2001-03-22 2005-08-16 Sun Microsystems, Inc. Method migrating open network connections
US20040006573A1 (en) * 2001-06-18 2004-01-08 Nomura Takashi Data transmission apparatus, data transmission method, and data transmission method program
US7124191B2 (en) * 2001-06-26 2006-10-17 Eastman Kodak Company Method and system for managing images over a communication network
US7117267B2 (en) * 2001-06-28 2006-10-03 Sun Microsystems, Inc. System and method for providing tunnel connections between entities in a messaging system
US6954792B2 (en) * 2001-06-29 2005-10-11 Sun Microsystems, Inc. Pluggable authentication and access control for a messaging system
US7353281B2 (en) * 2001-08-06 2008-04-01 Micron Technology, Inc. Method and system for providing access to computer resources
US20030061301A1 (en) * 2001-09-25 2003-03-27 Frank Chethik Music on demand system and method
US7010608B2 (en) * 2001-09-28 2006-03-07 Intel Corporation System and method for remotely accessing a home server while preserving end-to-end security
US20030084103A1 (en) * 2001-10-29 2003-05-01 Comverse, Ltd. Method and system for third-party initiation of an anonymous tele-chat session
KR100422252B1 (ko) * 2001-12-20 2004-03-11 삼성전자주식회사 씬 클라이언트 네트워크 시스템과 그 네트워크 시스템의데이터 전송 방법
US6934706B1 (en) * 2002-03-22 2005-08-23 International Business Machines Corporation Centralized mapping of security credentials for database access operations
US7676579B2 (en) * 2002-05-13 2010-03-09 Sony Computer Entertainment America Inc. Peer to peer network communication
US7363363B2 (en) * 2002-05-17 2008-04-22 Xds, Inc. System and method for provisioning universal stateless digital and computing services
US7069438B2 (en) * 2002-08-19 2006-06-27 Sowl Associates, Inc. Establishing authenticated network connections

Also Published As

Publication number Publication date
WO2005101747A2 (en) 2005-10-27
US20120222108A1 (en) 2012-08-30
US8631139B2 (en) 2014-01-14
BRPI0509900A (pt) 2007-09-18
WO2005101747A3 (en) 2007-09-13
JP2008505512A (ja) 2008-02-21
AU2005234496A1 (en) 2005-10-27
CN101095134A (zh) 2007-12-26
CA2562912A1 (en) 2005-10-27
EP1738530A2 (en) 2007-01-03
US20110066739A1 (en) 2011-03-17
US20050238034A1 (en) 2005-10-27
JP2011072038A (ja) 2011-04-07

Similar Documents

Publication Publication Date Title
US8631139B2 (en) System and method for automatically initiating and dynamically establishing secure internet connections between a fire-walled server and a fire-walled client
Rosenberg et al. TCP Candidates with Interactive Connectivity Establishment (ICE)
US8296437B2 (en) Server-mediated setup and maintenance of peer-to-peer client computer communications
JP3445986B1 (ja) インターネットに接続するサーバ、機器および通信システム
US20070271453A1 (en) Identity based flow control of IP traffic
US7251824B2 (en) Accessing a private network
US20060072569A1 (en) Network address translation protocol for transmission control protocol connections
EP2264956A2 (en) Method for securing remote access to private networks
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
Bhattacharjya et al. On mapping of address and port using translation
WO2014001871A1 (en) System and method for facilitating communication between multiple networks
Komu et al. Basic host identity protocol (HIP) extensions for traversal of network address translators
US20200287868A1 (en) Systems and methods for in-band remote management
Janbeglou et al. Overudp: Tunneling transport layer protocols in udp for p2p application of ipv4
Slehat et al. Securing teredo client from NAT holes vulnerability
Rosenberg et al. RFC 6544: TCP Candidates with Interactive Connectivity Establishment (ICE)
CN117544668A (zh) 一种通过外网服务器反向代理的方法
Asghar et al. Security issues of SIP
Hadi An analytical study for Security in IPv6
Gabriel-Robez VPN and Firewall Traversal
Vugt Making a Connection
van Vugt Making Connection: Configuring the Network Interface Card and SSH
Komu Host identity payload in home networks
Ford Differences from IPv4
Kukkonen Build Mobile Phone Connectivity Over IP Networks

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid