JPH11167536A - コンピュータ・ネットワークを利用したクライアント/ホスト間の通信方法と装置 - Google Patents

コンピュータ・ネットワークを利用したクライアント/ホスト間の通信方法と装置

Info

Publication number
JPH11167536A
JPH11167536A JP18308898A JP18308898A JPH11167536A JP H11167536 A JPH11167536 A JP H11167536A JP 18308898 A JP18308898 A JP 18308898A JP 18308898 A JP18308898 A JP 18308898A JP H11167536 A JPH11167536 A JP H11167536A
Authority
JP
Japan
Prior art keywords
machine
secure
exchanger
response
name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP18308898A
Other languages
English (en)
Inventor
Ashar Aziz
アジズ アシャー
Thomas Markson
マークソン トーマス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Publication of JPH11167536A publication Critical patent/JPH11167536A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 保護ホストのアドレスおよび中間デバイス
(暗号化ファイアウォール、暗号化ルータ、セキュア・
ゲートウェイ)のキーとアドレスを使用して許可クライ
アントを動的に構成し、中間デバイスがその背後にトポ
ロジ状に置かれている私用ネットワーク上の複数のホス
トを保護すること。 【解決手段】 ドメインの登録ネーム・サーバはそのド
メインに置かれた保護ホストとのセキュア・コミュニケ
ーションのために必要な情報の要求に応答して、新規の
リソース・アドレス・タイプ(SXレコード)を戻すよ
うに構成されている。許可クライアントに置かれている
(さもなければ、それと関連づけられている)リゾルバ
はSXレコード内のデータを使用して、セキュア・コミ
ュニケーションを処理するためにクライアントによって
使用された情報を動的に更新する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は一般的にはコンピュ
ータ・ネットワークに関し、具体的には、コンピュータ
・ネットワークを利用する許可(authorized)クライアン
トと保護ホスト間のセキュア・コミュニケーションに関
する。
【0002】
【従来の技術】A ネットワーク・アドレス コンピュータは相互に接続されてネットワークを形成
し、これらのネットワークは他のネットワークに接続さ
れてインターネットを形成している。「Internet(イン
ターネット)」と呼ばれる世界的規模のインターネット
の利用は、会議室(down the hall) にだけではなく、海
外に置かれたホスト・コンピュータと通信する必要のあ
るクライアント・マシン上でプログラムを実行させる人
が増加するのに伴って急激に増加している。Internet上
の各ホストはwww.whitehouse.govといった固有の名前、
および128.102.252.1.といった対応する
ネットワーク・アドレスをもっている。US Postal Serv
ice (米国郵便サービス)を通してレターを郵送する人
が受取人の住所を知っている必要があるのと同じよう
に、ネットワークを通してホストと通信するクライアン
トはホストのネットワーク・アドレスを知っている必要
がある。しかし、通常は、クライアントはホストの名前
だけを知っている。
【0003】Internetの世界では、ホストの名前とアド
レスは世界の各国に置かれているコンピュータ上のデー
タベースにストアされている。これらのデータベースの
1つをもち、ホスト・アドレスの照会(queries) に応答
するコンピュータは、「ドメイン・ネーム・サーバ(Dom
ain Name Server)」または単純に「ネーム・サーバ」を
含めて、種々の名前で知らされている。非常に多数のホ
スト・コンピュータはInternetアドレスをもっているの
で、すべてのホストの名前とアドレス情報を1つのデー
タベースに保存しておくことは実用的でない。その代わ
りに、このような情報は世界各国のInternetドメイン・
ネーム・サーバ間に分散されている。
【0004】ドメイン・ネーム・サーバおよびそれらに
関連づけられた名前とアドレス・データベースは、アド
レス照会に応答するために使用される1つのシステムに
すぎない(「リゾルビングアドレス(resolving address
es) 」とも呼ばれる)。「ディレクトリ・サービス」、
「ディレクトリ・システム」、「DS」といった用語や
その他の用語は、一般に、オンライン・データベースか
ら情報を取り出してネットワーク経由で照会に応答する
システムを指すために使用されている。例えば、X50
0ディレクトリ・システム標準に準拠して実現されてい
る分散データベースには、ネットワーク・アドレス以外
にも、他の多数の種類の情報(例えば、人の名前とアド
レス、プリンタの名前とロケーション、電話番号とファ
ックス番号)を含めることが可能になっている。X50
0の詳細は当業者には周知であるので、ここで詳細に説
明することは省略する。参考文献としては、例えば、Uy
less D. Black 著「OSI:A Model for Computer Com
munication Standards(OSI:コンピュータ通信標準
モデル)」、Prentice-Hall (1991),pp.38
8−89がある。
【0005】ある企業がInternetに接続するときは、そ
の企業はそのドメイン名(例えば、sun.com)を登録す
る。これは第2レベル・ドメインと呼ばれている。企業
は第2レベル・ドメインのすべてのアドレス照会がInte
rnetドメイン・ネーム・システムによって送られる先の
公開ネーム・サーバを少なくとも2つ指名し、登録しな
ければならない。これらのサーバは、以下では、ドメイ
ンの「登録」ネーム・サーバと呼ぶことにする。企業は
そのドメインをもっと小さなセグメントに分割すること
がよくあり、これらのセグメントは「ゾーン」と呼ばれ
ている(例えば、eng.sun.com およびcorp.sun.com)。
当業者ならば理解されるように、「ゾーン」という用語
はドメインを任意に分割したものを指す場合があり、こ
の中にはドメイン全体自体も含まれる。企業はそれぞれ
のゾーンだけで「権限をもつ」ネーム・サーバを指名す
ることができる。この場合、各ゾーンは独自のデータベ
ース(「ゾーン・データベース」)をもち、そこには、
そのゾーンに置かれているマシンの名前、アドレス、お
よびその他の情報が収容されている。説明の便宜上、
「ネーム・サーバ」という用語は、以下では、サーバの
データベース(例えば、ドメイン・ネーム・サーバまた
はディレクトリ・サーバ)内の情報の照会に応答するサ
ーバを意味するために使用され、「ゾーン・データベー
ス」という用語は、それが第2レベル・ドメインを包含
するか、もっと小さなゾーンを包含するかに関係なく、
そのデータベースを意味するために使用されている。当
業者ならば理解されるように、「データベース」という
用語は編成された情報の集まり一切を意味することがで
きる。
【0006】企業があるゾーン内のマシンのアドレスを
公開して、見えるようにすることを選択していれば、そ
のゾーンを収めている第2レベル・ドメインの登録ネー
ム・サーバはそのゾーン内のマシンのアドレス照会を権
限をもつゾーン・ネーム・サーバに送るように構成され
ている。しかし、企業がゾーンのネットワーク・トポロ
ジを隠す必要があるときは、登録ネーム・サーバはゾー
ン・ネーム・サーバに関するどの情報ももたないように
構成され、そのゾーン内のマシンだけが照会をゾーン・
ネーム・サーバに送るように構成されている。このよう
な可視制限ゾーン(visibility-limited zone) は「保護
ゾーン」と呼ぶことができ、そこに置かれたマシンは
「保護マシン(protected machines)」と呼ぶことができ
る。従って、マシンのアドレスが公開されて、見えるよ
うにされたかどうかは、ネットワーク上で稼働している
プログラム相互間のやりとり(interaction) に影響する
ことになる。
【0007】上述したように、クライアント上で実行さ
れているアプリケーション・プログラムが別のロケーシ
ョンに置かれたホストに連絡する必要があるときは、そ
のアプリケーションはそのホストのアドレスを必要とす
る。一般に、アプリケーション・プログラムは照会を
「リゾルバ(resolver)」プログラム(これもクライアン
ト上で実行されている)に送って、アドレスを要求する
ことがある。リゾルバ・プログラムはローカル・ファイ
ルをチェックし、ホスト・アドレスを要求するためのデ
フォルト・ネーム・サーバが分かると、その照会をデフ
ォルト・ネーム・サーバに渡すことになる。説明の便宜
上、このデフォルト・ネーム・サーバは、以下ではクラ
イアントの「ローカルNS」と呼ぶことにする。ローカ
ルNSは要求されたアドレスをすでにもっている場合も
あれば、そのアドレスをもつサーバ(例えば、第2レベ
ル・ドメインの登録ネーム・サーバまたはゾーンの権限
をもつネーム・サーバ)に到達するまで、必要に応じて
他のネーム・サーバに連絡していく場合もある。ローカ
ルNSが照会に対する応答を受信すると、ローカルNS
はその応答をリゾルバに戻し、リゾルバは応答を処理
し、アドレスをクライアントに引き渡す。Internetドメ
イン・ネーム・システムおよびリゾルバの上記説明とそ
の他の詳細は当業者には周知であるので、ここでは詳し
く説明することは省略する。参考文献としては、例え
ば、Sidnie Feit 著「TCP/IP」、McGraw-Hill
(1997)があり、第12章に詳しく説明されてい
る。
【0008】B 許可クライアント 現在のテクノロジは、ネットワークを利用したコミュニ
ケーションをいくつかの側面から見たとき、十分に解決
していない側面がいくつかある。企業のネットワーク・
ポリシを実現するためには、上述したように、ネットワ
ーク管理者は、保護マシンのアドレスを他の保護マシン
だけに見えるようにすることによってネットワーク・ト
ポロジを隠すようにゾーンをセットアップすることがで
きる。しかし、ネットワーク管理者は保護ゾーンの外に
いる許可クライアントが、保護ゾーンの内側にいるホス
トと通信できるようにしたい場合もある。ネットワーク
管理者は許可クライアントが通信できる保護ホストのア
ドレスを、そのクライアント上の1つまたは2つ以上の
静的構成ファイルにストアしておくこともできる。その
場合には、これらの構成ファイルは保護ホストのアドレ
スが変更されるたびに、すべての許可クライアント側で
更新する必要がある。ネットワーク管理者は置換ファイ
ルをすべての許可クライアントに送ることができるが、
別の方法として、ネットワーク管理者は変更された情報
を、許可クライアントへのアクセス権をもつ人に配布し
て「手操作(マニュアル)」で入力させることもでき
る。このような人は構成ファイルを直接に編集すること
も、プログラム(例えば、コマンドライン・プログラム
またはグラフィカル・ユーザ・インタフェース)を使用
して変更情報を入力することもできる。
【0009】クライアントの数と移動性が増加するに伴
い、これらの構成ファイルを最新に保つことは、不可能
ではないにしても、煩わしい作業である。ネットワーク
管理者は保護ホストのアドレスを使用して許可クライア
ントを構成し、人間の介入なしですべての許可クライア
ント上の構成ファイルを変更できるようにする方法を必
要としている。本発明の種々実施例が提供する解決方法
によれば、許可クライアントは中央ロケーションにスト
アされ、維持されている情報を使用して各自のファイル
を動的に更新することができる。その場合、ネットワー
ク管理者はすべての許可クライアント上のファイルを更
新しなくても、容易にアクセス可能なロケーションに置
かれている情報を更新するだけですむことになる。
【0010】C セキュア・コミュニケーション 許可クライアントはコミュニケーションを確立するため
に、保護ホストのアドレス以上のものを必要とすること
がよくある。このようなことは、クライアントとホスト
がコミュニケーションが「セキュア(安全保護)」であ
るかを確かめたいときに起こっている。セキュア・コミ
ュニケーションには、プライバシ、保全性、および認証
という問題が含まれている。ここでプライバシとは、あ
るクライアントがネットワークを利用して機密情報を送
信するとき、意図するホストだけがそれを読み取り、理
解できることを意味する。保全性(integrity) とは、送
信中にだれもがメッセージを変更しなかったことを意味
する。認証(authentification)とは、そのメッセージが
メッセージが要求するクライアントからのものであるこ
とがホストに保証されることを意味する。標準的暗号手
法としては、DESやRSAなどのアルゴリズム、およ
びディジタル・シグネーチャ、ディジタル証明、SKI
Pなどの、他のテクノロジやプロトコルがある。必要に
応じて、これらの暗号手法(または同等のセキュリティ
手法)は種々側面から見たプライバシ、保全性、および
認証を保証するために使用されているのが普通である。
【0011】保護ホストのアドレスを許可クライアント
に提供するのと同じように、セキュア・コミュニケーシ
ョンはネットワークを利用したコミュニケーションの1
つの側面であり、この側面も現在のテクノロジでは十分
に解決されていない。ある種のネットワーク構成では、
ネットワーク・セキュリティ・システムであるファイア
ウォール(firewall)が保護マシンへのアクセスを管理し
ている。許可クライアントが保護マシンと機密に通信で
きるようにするためには、ファイアウォールはそのクラ
イアントからのコミュニケーションがファイアウォール
を経由するように構成されていなければならない。さら
に、保護ホストとセキュア・コミュニケーションを行う
ためには、ホストのアドレスのほかに、許可クライアン
トは追加の情報を必要とする。この追加情報としては、
(1)保護ホストのために暗号化を行うファイアウォー
ルのアドレスとキー、および(2)使用される暗号アル
ゴリズム(および他の必要な暗号手法)がある。
【0012】許可クライアントがこの追加情報を取得す
ると、その追加情報はホスト・アドレスと一緒に、暗号
化オペレーションを処理するクライアントのコンポーネ
ント(例えば、アプリケーション・プログラム、オペレ
ーティング・システム、またはハードウェアの暗号プロ
セッサ)によって使用されるデータ構造にストアされる
のが一般である。例えば、SKIPテクノロジでは、こ
のような「アウトバウンド・セキュア・メッセージ」は
インバウンド・アクセス情報と一緒に、クライアントの
アクセス・コントロール・リストにストアされている。
しかし、当業者ならば理解されるように、アウトバウン
ド・メッセージ情報は適切なデータ構造であれば、どの
データ構造にもストアすることが可能である。
【0013】アウトバウンド・セキュア・メッセージ情
報を収めているデータ構造はホストのアドレスまたは暗
号情報が変更されるたびに、すべての許可クライアント
側で更新する必要がある。この場合も、本発明の種々の
実施例によれば、許可クライアントは中央ロケーション
にストアされ、維持されている情報を使用して各自のデ
ータ構造を動的に更新することができる。説明の便宜
上、「許可クライアント」という用語は、ここでは、本
発明を使用するように構成され、許可クライアントが通
信する保護ホストのファイアウォールを経由してコミュ
ニケーションが許されているクライアントを意味するも
のとして用いられている。
【0014】
【発明の要約】本発明によれば、保護ホストのアドレス
および中間デバイス(例えば、暗号化ファイアウォー
ル、暗号化ルータ、セキュア・ゲートウェイ)のキーと
アドレスを使用して許可クライアントを動的に構成し、
その中間デバイスがその中間デバイスの背後にトポロジ
状に置かれている私用(private) ネットワーク上の複数
のホストを保護するようした方法および装置が提供され
ている。ドメインの登録ネーム・サーバはそのドメイン
に置かれた保護ホストとのセキュア・コミュニケーショ
ンに必要な情報の要求に応答して、新規のリソース・レ
コード・タイプ(ここでは、SXレコードと名づけてい
る)を戻すように構成されている。許可クライアントに
置かれた(さもなければ、それと関連づけられた)リゾ
ルバ(resolver)はSXレコード内のデータを
使用して、セキュア・コミュニケーションを処理するた
めにクライアントによって使用される情報を動的に更新
するように構成されている。
【0015】本発明のいくつかの実施例を使用すると、
多数の利点が得られる。そのような利点としては、保護
ホストのアドレスを使用してクライアントを動的に構成
するシステム、保護ホストとのセキュア・コミュニケー
ションのためにクライアントを動的に構成するシステ
ム、およびネットワーク管理者がセキュア・コミュニケ
ーションのために必要なアドレスと暗号情報を中央で管
理できるようにするシステムがあるが、本発明はこれら
に限定されるものではない。本発明のいくつかの実施例
の上記利点およびその他の利点は、下述する詳細な説明
の中で明らかにする。
【0016】
【発明の実施形態】以下、本発明の1つまたはいくつか
の実施例の理解を容易にするために、添付図面を参照し
て本発明について詳しく説明する。
【0017】ネットワークは種々構成が可能であり、そ
の構成はローカル・エリア・ネットワーク(LAN)、
広域ネットワーク(WAN)、イントラネット、インタ
ーネット、およびInternetといったように、多彩な名前
が付けられている。代表的なインターネット構成は私用
LANおよび公衆(public)Internetの一部を含む、任意
の数のネットワークで構成されている。任意の数のコン
ピュータをこれらのネットワークに接続することができ
る。これらのコンピュータは様々な機能に利用すること
ができが、特定の機能を反映する用語で表されることが
よくある。1つの例では、ある人は別のコンピュータと
通信する必要のあるパーソナル・コンピュータ(PC)
上でプログラムを実行している。この場合のPCはクラ
イアントと呼ばれ、他方のコンピュータはサーバまたは
ホストと呼ばれている。別の例では、2つのネットワー
クを接続するコンピュータはゲートウェイと呼ばれてい
る。これらの例におけるコンピュータはいずれも、単純
にマシンと呼ばれることもある。当業者ならば理解され
るように、本発明はネットワークおよびそこに接続され
たコンピュータのどちらの場合も、特定の構成を要求す
るものではない。従って、以下では、ある特定の構成
(インターネットを利用したクライアントとホスト間の
コミュニケーション)を参照して本発明を説明している
が、以下の説明は任意のネットワーク・タイプ上で動作
する、どのコンピュータにも適用されることはもちろん
である。
【0018】A 本発明が実施される環境 図1は、本発明の実施例を実施できる代表的なインター
ネット構成を示したものである。この構成には、ファイ
アウォール110によって公衆(public)ネットワーク1
90に接続されているドメイン100(例えば、sun.co
m )が含まれている。ドメイン100は保護ゾーン18
0(「ファイアウォールの内側」と呼ばれることもあ
る)を含み、保護ゾーンは任意の数のマシンを任意の構
成で含むことができる。この例では、内側ホスト14
0、LAN160、内側クライアント150、および内
側NS130はすべて保護ゾーン180に置かれてい
る。外側NS120はドメイン100の登録ネーム・サ
ーバであり、内側NS130は保護ゾーン180の権限
をもつネーム・サーバである。
【0019】ほとんど無制限の数のマシンとネットワー
クが公衆ネットワーク190に接続されている。図1に
示すように、代表的な構成には、外側クライアント18
2、外側ホスト184、LAN186、ローカルNS2
50、および許可クライアント210が含まれている。
図2、図3および図4を参照して以下で明らかにするよ
うに、代表的な許可クライアント210には、アプリケ
ーション215、そのローカルNS250を示している
構成ファイル220、リゾルバ225、暗号プロセッサ
230、オペレーティング・システム235、およびト
ンネル・マップ500が含まれている(詳細は後述す
る)。代表例として、これらのコンポーネントは許可ク
ライアント210側の1つまたは2つ以上のコンピュー
タ可読媒体またはメモリに置かれている。
【0020】B 問題 上述したシステム・アーキテクチャが与えられていると
き、許可クライアント210で実行されているアプリケ
ーション210が保護ゾーン180内の保護ホスト14
0と機密に通信する必要が起こったとき、どのようなこ
とが行われるか。アプリケーション215がそれを行う
ためには、その前に、アウトバウンド・セキュア・メッ
セージ情報が必要になる。この情報は許可クライアント
210にストアされており、情報としては、内側ホスト
140のアドレス、ファイアウォール110のアドレス
とキー、および使用される暗号プロトコルがある。クラ
イアントの数と移動性が増加するに伴い、人間の介入に
頼ってアウトバウンド・セキュア・メッセージ情報を最
新に保つことは煩雑な作業であり、あるいは不可能であ
る。本発明の種々実施例によれば、この問題は許可クラ
イアントが中央ロケーションにストアされ、維持されて
いる情報を使用して、各自のアウトバウンド・セキュア
・メッセージ情報を動的に更新できるようにすることに
よって解決されている。以下のセクションでは、クライ
アントとネーム・サーバ間のメッセージの構造と内容、
仲介の働きをするリゾルバ・プログラム、およびシステ
ムがどのように構成されているか、について詳しく説明
する。
【0021】C.ネーム・サーバ・メッセージおよびリ
ソース・レコード ネーム・サーバ・メッセージはヘッダと4つのセクショ
ン(1)照会(query)、(2)返答(answer)、(3)権
限(authority) 、(4)追加(additional)から構成され
ている。返答、権限、および追加セクションは、ネーム
・サーバが照会に応答して送信するリソース・レコード
を収めている。リソース・レコード・タイプは多数存在
し、各々はそのレコード・タイプのデータを収めている
データ・フィールドを含んでいる。例えば、要求された
ホストのアドレスはAレコードのデータ・フィールドに
入って戻され、権限をもつネーム・サーバの名前はNS
レコードのデータ・フィールドに入って戻される。
【0022】セキュア・コミュニケーションの必要性を
サポートするために、Internetドメイン・ネーム・シス
テム(「セキュアDNS」)のあるバージョンはKEY
とSIGリソース・レコード・タイプを含む、セキュリ
ティ拡張機能(extensions)を使用している。KEYリソ
ース・レコードは公開キーと関連情報を配布するために
使用できる。つまり、KEYレコードはキー、キー名、
またはアルゴリズムを収めることができる。SIG、つ
まり、「シグネーチャ」リソース・レコードは他のリソ
ース・レコードに入っているデータを認証するために使
用できる。SIGレコードのデータ・フィールドの1つ
は「ラベル(labels)」フィールドである。このフィール
ドは、オリジナルSIGレコード所有者名がゾーン・デ
ータベースに置かれているときラベルがいくつあるかを
カウントしたものである(例えば、*.sun.comが2つの
ラベルをもっているのは、ルートを表すヌル・ラベル
(“.”)とワイルドカード(“*”)はカウントに含
まれないためである)。従って、このラベル・カウント
はワイルドカード置換の結果としてリトリーブされたレ
コードのオリジナル名を導き出すために使用される(詳
細は後述する)。このオリジナル名は、例えば、ディジ
タル・シグネーチャを検証するために必要になる。
【0023】本発明の一実施例では、セキュアDNSに
よって提供されるKEYとSIGリソース・レコードを
使用している。セキュアDNSの詳細は当業者には周知
であるので、ここでは、これ以上詳しく説明することは
省略する。参考文献としては、例えば、RFC 206
5−「Domain Name System-Security Extensions(ドメ
イン・ネーム・システム−セキュリティ拡張機能」(1
997)がある。当業者ならば理解されるように、本発
明の一実施例では、セキュアDNS機能を利用している
が(例えば、レコードのオリジナル名を導き出し、シグ
ネーチャを検証するために)、すべての実施例がこの機
能を必要とするとは限らない(つまり、これらは十分な
能力をもつ他のシステムを使用して実現することが可能
である)。
【0024】D SXレコード セキュリティ拡張機能で上に示したように、Internetド
メイン・ネーム・システムはユーザが新規のリソース・
レコード・タイプを自由に作成できる点でオープンエン
ド(open-ended)になっている。本発明の種々実施例によ
れば、さらに、SXレコードと名づけた別の新規レコー
ド・タイプが追加されている。SXレコードのデータ・
フィールドは、そのレコードの所有者に関連する「セキ
ュア・エクスチェンジャ(secure exchanger)」のID
(例えば、名前またはアドレス)を収めている。セキュ
ア・エクスチェンジャはセキュア・コミュニケーション
を自身のために、または別のマシンのために処理するマ
シンである(例えば、暗号化または解読を実行する)。
この機能を実行するために、セキュア・エクスチェンジ
ャは暗号データ(例えば、キーまたはアルゴリズム)を
使用する。セキュア・エクスチェンジャのIDと暗号デ
ータはセキュア・エクスチェンジャのパラメータと総称
することができる。ファイアウォールはセキュア・エク
スチェンジャ機能を頻繁に実行するので、「ファイアウ
ォール110」という用語は、ここでは、セキュア・エ
クスチェンジャを意味するために用いられている。当業
者ならば理解されるように、該当の暗号化機能を持つマ
シンならば、どのマシンでもセキュア・エクスチェンジ
ャとして機能させることができる。
【0025】また、当業者ならば理解されるように、
「SX」は任意のレコード・タイプIDであり、SXレ
コード・タイプが定義されていれば、クライアントは明
示的にそのタイプのレコードをネーム・サーバに要求す
ることができる。別の方法として、ネーム・サーバは他
のレコードの照会に対する返答を含む応答に入れてSX
レコードを戻すように構成することも可能である。例え
ば、クライアントがホスト・アドレスについて照会する
と、ネーム・サーバはホスト・アドレスを応答セクショ
ンに、SXレコードを追加セクションに入れて応答を送
信することになる。本発明の他の実施例には、SXレコ
ードを追加または権限セクションに入れて戻し、応答の
返答セクションは空のままにしておくようにネーム・サ
ーバの振舞をカストマイズすることを含めることも可能
である。言い換えれば、応答は未要求のリソース・レコ
ードだけを含むことになる。上述した説明から明らかな
ように、当業者ならば理解されるように、本発明はSX
レコードが応答のどの特定セクションに入って送られる
かには左右されない。SXレコード内のデータは、保護
ホストとのセキュア・コミュニケーションのためにクラ
イアントによって使用された情報を更新するために、リ
ゾルバと呼ばれるプログラムによって使用される。
【0026】E リゾルバの概要 リゾルバは、ネーム・サーバと、クライアント上で実行
されているアプリケーション・プログラムとの間の仲介
役をするプログラムである。リゾルバは情報の照会をア
プリケーション・プログラムから受信し、その照会を該
当のネーム・サーバに送信し、もしあれば、応答を要求
側アプリケーションに戻す。照会のタイプとしては、所
与のホスト名のホスト・アドレス、所与のホスト・アド
レスのホスト名、およびネーム・サーバ・データベース
にストアされている情報の全体的ルックアップがある。
リゾルバは一般的に照会の処理を次の4ステップで行
う。(1)照会に対する返答がローカルにあれば、その
返答を戻し、返答がなければ(2)返答を要求する最良
のサーバを見つけ、(3)いずれかが応答するまでその
サーバに照会を送信し、(4)返答を処理する。
【0027】ステップ(2)で照会するのに最良のサー
バを見つけるために、リゾルバはサーバ名とゾーンのリ
ストを、SLISTと名づけた構造に保存している。S
LISTはデフォルト・サーバで初期化される。そのあ
とで、リゾルバはサーバとやりとりするたびに、リゾル
バはどのサーバが必要とする情報をもっているかのリゾ
ルバの「最良の推量(best guess)」でSLISTを更新
する。この「最良の推量」は所与のマシンに関する照会
に対する各サーバの応答性がどの程度であるか(例え
ば、応答時間またはサーバが応答した頻度)に基づいて
行われることがよくある。従って、過去の実績に基づく
応答性は将来の照会用にSLISTを最適化するために
使用されている。当業者ならば理解されるように、リゾ
ルバはこの基準または他の基準に従ってSLISTを維
持するようにプログラムすることが可能である。
【0028】上述した説明は、リゾルバが実行する機
能、およびその機能の実現方法を高度にカストマイズで
きることを示す一例である。リゾルバのこれらの説明お
よび他の詳細は当業者には周知であるので、ここで詳し
く説明することは省略する。参考文献としては、例え
ば、RFC1034−「Domain Names-Concepts and Fa
cilities(ドメイン名−概念と機能)」(1987)お
よびRFC1035−「Domain Names-Implementation
and Specification (ドメイン名−実現方法と仕様)」
(1987)がある。
【0029】F リゾルバの機能 本発明の種々実施例は、保護ホストとのセキュア・コミ
ュニケーションのために使用される情報(つまり、アウ
トバウンド・セキュア・メッセージ情報)を収めてい
る、クライアント側のデータ構造を動的に更新するよう
にリゾルバ機能をカストマイズすることによって実現さ
れている。このようなデータ構造はデータ・セットから
構成され、そのフィールドは「トンネル情報」(例え
ば、デスティネーションとセキュア・エクスチェンジャ
・アドレス)と関連暗号データ(例えば、セキュア・エ
クスチェンジャのキーまたはアルゴリズム)を収めてい
るのが代表的である。ここで、「トンネル・マップ」と
いう用語はそのようなデータ構造を意味するために用い
られ、「トンネル・マップ・エントリ」という用語はデ
ータ・セットの1つを意味するために用いられている。
【0030】本発明の一実施例によれば、トンネル・マ
ップ・エントリはネーム・サーバ・メッセージからのS
Xレコードに入っているセキュア・エクスチェンジャの
カバレッジ有効範囲(scope of coverage) を示すフィー
ルドも含んでいるが、このフィールドは現在この分野で
は使用されていないものである。言い換えれば、この新
規フィールドはエントリ内のセキュア・エクスチェンジ
ャが暗号化メッセージを、どのマシンに「トンネルから
通過」させるかを示している。詳細は後述するが、この
フィールドを使用すると、既存のものから新規のトンネ
ル・マップ・エントリを作成できるので、エントリ作成
プロセスを効率化することができる。しかし、本発明の
すべての実施例がこのフィールドを必要とするとは限ら
ないので、これはトンネル・マップ・エントリから省く
ことも可能である。このような実施例の1つは「その他
の実施例」のセクションに示されている。
【0031】図9はフィールド4 540を含むトンネ
ル・マップ・エントリ500を示す概略図である。図9
に示すように、行(row) 1はエントリのフィールドの内
容を概略記述し、行2と行3−4は本発明の2実施例の
場合のフィールド・データを具体的に記述している。ト
ンネル・マップ・エントリ500がどのように作成さ
れ、使用されるかの詳細は、「許可クライアントで実現
される発明」のセクションの後で説明することにする。
本発明の種々実施例では、トンネル・マップ情報はIP
SECやSKIPなどの、標準トンネル・プロトコルと
関連づけて使用されている。当業者ならば理解されるよ
うに、本発明はトンネル・マップ内の情報の内容または
ロケーションに行った変更を容易に受け入れることがで
きる。
【0032】当業者には公知であるように、リソース・
レコードは存続時間(time-to-live(TTL))フィー
ルドを含んでおり、これはレコードの情報がいつまで信
頼できるかを示している。SXレコード内のTTLフィ
ールドはそのレコードから導き出されたトンネル・マッ
プ・エントリの寿命を判断するために使用できる。しか
し、マシンのリブート時にトンネル・マップを再初期化
するといった他の手法を用いて、トンエル・マップを最
新に保つことも可能である。本発明はどの特定手法にも
限定されないが、本発明によれば、これらの手法および
この分野で公知の他の手法を用いてトンネル・マップの
正確性を保つことが可能である。
【0033】G リゾルバのロケーション リゾルバの機能をカストマイズできるだけではなく、そ
の機能を1つまたは2つ以上のコンポーネントの中で実
現することも可能である。リゾルバ225という用語
は、ここでは、本発明によって提供される全機能を意味
するために用いられており、かかる機能を実現するため
に使用されるコンポーネントの数またはそのコンポーネ
ントが置かれるロケーションは無関係である。図2、図
3および図4は許可クライアント210の構成例を示し
ている。各構成において、許可クライアント210のア
ドレスは例えば199.200.1.9に、そのローカ
ルNS250のアドレスは例えば199.200.1.
2になっている。従って、リゾルバ225によって使用
される構成ファイル220は、ローカルNS250のア
ドレスを収めている。アプリケーション215は許可ク
ライアント210にインストールされている。暗号プロ
セッサ230が必要であれは、これも許可クライアント
210にインストールされる。
【0034】図2に示す構成では、リゾルバの全機能は
1つのコンポーネントに実現されている。このケースで
は、アプリケーション215はその照会をリゾルバ22
5に送付する。リゾルバ225は構成ファイル220か
らのローカルNS250のアドレスを読み取り、照会を
ローカルNS250に転送する。リゾルバ225は応答
を受信すると、ここで説明したようにその応答を処理す
る。
【0035】図3は、クライアントのリゾルバを変更す
ることが望ましくないか、または可能でないとき実現で
きる構成を示したものである(例えば、クライアントで
はMicrosoft Windows が実行されている)。このケース
では、標準スタブ・リゾルバ226が許可クライアント
自体へのループバックと共に使用される。リゾルバ22
5は許可クライアント210にインストールされている
ネーム・サーバ・ソフトウェアに組み込まれている。ル
ープバックを実現するために、リゾルバ225は構成フ
ァイル220を読み取り、ローカルNS250のアドレ
スを許可クライアント210のアドレスで置き換える。
リゾルバ225はローカルNS250のアドレスを自身
で使用するために保存しておく。このケースでは、アプ
リケーション215はその照会をスタブ・リゾルバ22
6へ送付し、リゾルバ226は変更された構成ファイル
220を読み取り、照会をリゾルバ225へ送る。リゾ
ルバ225は照会を受信すると、オリジナル構成ファイ
ル220に残しておいたアドレスを使用して、その照会
をオリジナル・ローカルNSであるローカルNS250
に転送する。なんらかの応答がリゾルバ225に戻され
ると、リゾルバ225はここで説明したように応答を処
理する。
【0036】図4に示す第3の構成では、アプリケーシ
ョン215はリゾルバ225と一体になるように変更さ
れている。従って、照会を行うには、アプリケーション
215は構成ファイル220を読み取り、照会をローカ
ルNS250に送付する。変更されたアプリケーション
215は応答を受信すると、それを処理する。当業者な
らば理解されるように、本発明の精神と範囲から逸脱し
ない限り他の構成を使用することも可能である。
【0037】H システム・セットアップの概要 SXレコードとリゾルバは上述したとおりであるが、そ
の説明を前提として、このセクションではシステムの一
実施例がどのようにセットアップされるかの概要を説明
する。以下の概要では、図1がレファレンスとして使用
され、「ネットワーク管理者」という用語はシステム・
セットアップ・タスクのいずれかを実行する一切の個人
を含むように広義に用いられている。これらの個人はネ
ットワーク管理者とは別の名称をもっている場合がある
(例えば、システム管理者、LAN管理者、データベー
ス管理者、またはゾーン管理者)。実際には、エンドユ
ーザおよびプログラマがこれらのタスクの一部を実行す
る場合もある。さらに、当業者ならば理解されるよう
に、システム・セットアップ・タスクは一人の個人で実
行されるとは限らない。システムをセットアップするこ
とは、システムの3つの部分、つまり、(1)外側NS
120である、ドメイン100の登録ネーム・サーバ、
(2)ファイアウォール110、および(3)許可クラ
イアント210を構成することと見ることができる。
【0038】外側NS120を構成するためにネットワ
ーク管理者が実行するタスクとしては、SXリソース・
レコードを定義し、該当のレコードを外側NS120用
のネーム・サーバ・データベースに追加することがあ
る。この構成には、「登録ネーム・サーバで実現される
発明」のセクションで詳しく説明されているように、外
側NS120をカストマイズすることも含まれる。
【0039】ファイアウォール110を構成することに
は、許可クライアント120と保護ゾーン180内側の
マシン間の暗号化コミュニケーションを処理するように
ファイルウォールをセットアップすることが含まれる。
また、許可クライアント210からのコミュニケーショ
ンを認識し、許可するようにファイアウォール1102
を構成することも含まれる。当業者に周知であって、こ
れらの結果を達成できる手法ならば、どの手法でもファ
イアウォール110を構成するために使用することがで
きる。
【0040】本発明に従って動作するように許可クライ
アント210を構成するためには、次の2つの基本カテ
ゴリに属するコンポーネントが必要である。第1のカテ
ゴリには、リゾルバ225を実現するコンポーネントが
含まれる。リゾルバ・コンポーネントの詳しい説明は
「リゾルバのロケーション」のセクションに記載されて
いる。第2のカテゴリには、許可クライアント210の
ために暗号オペレーションを実行するコンポーネント
(以下では、暗号プロセッサ230と総称する)が含ま
れている。暗号オペレーションには、当業者ならば理解
されるように、暗号化、解読、ハッシング(hashing) 、
ディジタル証明、ディジタル・シグネーチャ、その他が
ある。従って、暗号コンポーネントには、暗号化/解読
ソフトウェアまたは暗号化機能を持つPCMCIAを含
めることができるが、いかなる場合も、これらに限定さ
れるものではない。
【0041】I 登録ネーム・サーバで実現される発明 上述した概要セクションを背景として使用して、このセ
クションでは本発明の一実施例を実現する詳細について
説明する。以下の説明では、留意すべき点が3つある。
第一は、ネーム・サーバは任意のタイプのレコードを応
答の特定のセクションに入れるのが代表的であるが、本
発明によれば、そのような要件が必ずしも課されないこ
とである。例えば、NSレコードは権限セクションに入
って送られるのが代表的であるが、本発明の実施例で
は、追加セクションが使用される。第二は、ネーム・サ
ーバがリソース・レコードを応答に追加するとき、該当
のSIGとKEYレコードも追加されることが暗黙にな
っていることである(つまり、各レコード・タイプとレ
コード所有者名の組み合わせごとに1つのSIGレコー
ド、およびSIGレコードを生成するために使用される
KEYレコード)。さらに、SIGとKEYレコードは
受信時に署名済みレコードを検証するために使用される
ことが暗黙になっている。第三は、レコードを応答に追
加する実行ステップがオプションとして記述されている
ときは、これらのレコードは追加の照会を行うことでク
ライアント側で取得できることを意味することである。
これらの基本点を留意して、図5は、ドメイン100の
登録ネーム・サーバで実行されるときの本発明の一実施
例のフローチャートを示したものである。以下の説明に
おいて、外側NS120は図1に示すようにドメイン1
00の登録ネーム・サーバである。
【0042】実行は、外側NS120がドメイン100
に置かれているホスト(「登録ホスト」)のアドレスの
照会を受信したときステップ305からスタートする。
ステップ310で、外側NS120は要求されたホスト
名に一致する所有者名をもつSXレコードがそのゾーン
・データベースにあるかどうかをチェックする。そのよ
うなレコードがデータベースになければ、実行はステッ
プ320にジャンプする。データベースにレコードがあ
れば、ステップ315で、外側NS120は要求された
ホストのセキュア・エクスチェンジャを示すSXレコー
ドを応答に追加する。
【0043】ステップ320で、外側NS120は要求
されたホストのAレコードがそのゾーン・データベース
にあるかどうかを確かめるためにチェックする。要求さ
れたホストのAレコードがデータベースにあれば(つま
り、要求されたホストのアドレスが公開され、見えるよ
うになっている)、外側NS120はステップ335で
ホストのAレコードを応答に追加し、ステップ340に
進む。データベースにAレコードがなければ(つまり、
要求されたホストが保護ゾーン180に置かれてい
る)、ステップ325で、外側NS120は照会すべき
他のネーム・サーバがあれば、それを示しているNSレ
コード(または複数のレコード)を応答に追加する。外
側NS120はステップ330で示すように、オプショ
ンとしてこれらのネーム・サーバのAレコードを追加し
てから、ステップ340から続けることができる。
【0044】SXレコードがステップ315で応答に追
加されたときは、ステップ340で外側NS120はオ
プションとしてSXレコードのデータ・フィールドに入
っているセキュア・エクスチェンジャのAレコードとK
EYレコードを応答に追加することも可能である。最後
に、ステップ345で外側NS120は応答をリクエス
タに送付する。図10は、要求されたホストのアドレス
が公開され、見えるようになっている場合の応答の例を
示す図である。図11は、要求されたホストが保護ゾー
ンに置かれている場合の応答の例を示す図である。
【0045】J 許可クライアントで実現される発明 図6、図7および図8は許可クライアント210で実行
されるときの発明の種々実施例のフローチャートを示す
図である。当業者ならば理解されるように、ここで説明
している機能はハードウェアで実現することも、ソフト
ウェアで実現することもできる。前者の場合、このハー
ドウェアには、汎用プロセッサ、マイクロプロセッサ、
プログラム・ロジック・アレイ、アプリケーション専用
集積回路、およびここで説明している機能を実行するの
に十分な処理能力をもつ他のデバイスを含めることが可
能である。後者の場合、このソフトウェアは任意の該当
ハードウェア・プラットフォーム上で実行させることが
可能であり、オブジェクト指向または手続き型プログラ
ミング言語を含む、任意の該当プログラミング言語を使
用して実現することが可能である。
【0046】以下のセクションでは、本発明の2つの実
施例を詳しく検討しているが、そこでは許可クライアン
ト210上で実行されているアプリケーション215は
内側ホスト140のアドレスの照会を行っている。最初
の実施例では、ドメイン100の1つのネーム・サーバ
を使用し、ネットワーク・トポロジは隠されていない
(つまり、内側ホスト140のアドレスは1サーバ実施
例では公開され、見えるようになっている)。言い換え
れば、登録ネーム・サーバのデータベースは内側ホスト
140のAアドレスを含んでいる。第2の実施例では、
ゾーンはネットワーク・トポロジを隠すように定義され
ており(つまり、内側ホスト140は保護ゾーン180
に置かれている)、登録ネーム・サーバのデータベース
は内側ホスト140のAレコードをもっていない。その
代わりに、このAレコードは第2のサーバによって使用
されるゾーン・データベースに置かれている。これらの
実施例はフローチャートを通る異なった経路をたどって
いくが、どちらもステップ405−425からスタート
する。
【0047】ステップ405で、リゾルバ225はアプ
リケーション215から照会を受信する。ステップ41
0で、リゾルバ225は内側ホスト140のドメインの
ネーム・サーバまでレフェラルチェーン(referral chai
n)をたどっていくことができるが、ローカル・サーバが
再帰的サービスをサポートしていれば、照会をローカル
NS250に渡すことも可能である。いずれの場合も、
リゾルバ225にはその後で、ステップ415で照会に
対する応答が戻される。
【0048】ステップ420で、リゾルバ225は応答
にSXレコードがあるかどうかをチェックして確かめ
る。これらの実施例のどちらの場合も、要求されたホス
ト名に一致する所有者名をもつSXレコードが登録ネー
ム・サーバのデータベースに含まれていれば、リゾルバ
が受信する最初の応答(つまり、登録ネーム・サーバか
らの応答)にはSXレコードが入っている。これらの実
施例の以下の説明では、このようなSXレコードが存在
し、応答に含まれているものと想定している。当業者な
らば理解されるように、セキュリティ上の目的から、S
Xレコードは署名され、そのシグネーチャ(署名)は受
信時に受信側で検証されるのが一般である。図10は要
求されたホストのアドレスが公開されて、見えるように
なっている場合の応答例を示す図であり、図11は要求
されたホストが保護ゾーンに置かれている場合の応答例
を示す図である。
【0049】実行はステップ425から続けられ、そこ
でリゾルバ225は内側ホスト140のAレコードが応
答にあるかどうかをチェックして確かめる。2実施例が
異なる経路をたどっていくのはこのステップからであ
る。応答にAレコードがなければ、実行はステップ44
0にジャンプするが、その詳細は「2サーバ実施例」の
セクションで下述する。Aレコードがあれば、実行はス
テップ430から続けられるが、その詳細は以下の「1
サーバ実施例」のセクションで説明する。
【0050】
【実施例】1.1サーバ実施例 要約して説明すると、この実施例では、1ネーム・サー
バが使用され、ネットワーク・トポロジは隠されていな
い。図1を参照して説明すると、内側NS130は必要
でなく、外側NS120のデータベースは内側ホスト1
40を含めて、ドメイン100に置かれているマシンの
レコードを含んでいる。従って、図6のステップ415
では、アプリケーション215からのアドレス照会に対
してリゾルバ225が受信する最初の応答には、内側ホ
スト140のAレコードと、ファイアウォール110を
対応するセキュア・エクスチェンジャとして示している
SXレコードが含まれている。図10はこの応答の例を
示す図である。
【0051】「登録ネーム・サーバで実現される発明」
のセクションで上述したように、応答はファイアウォー
ル110のAレコードとKEYレコードを含んでいる場
合もある。これらの追加レコードが応答になければ、リ
ゾルバ225は必要に応じて追加の照会を行う(図6に
は図示せず)。また、上述したように、すべての該当S
IGレコードが応答に含まれている(つまり、各レコー
ド・タイプとレコード所有者名の組み合わせごとに1つ
のSIGレコード)。リゾルバ225がこれらのレコー
ドをすべて受信すると、実行がステップ430から続け
れ、そこでリゾルバ225は図5に示すようなトンネル
・マップ・エントリ500を作成し、これは内側ホスト
140へのメッセージを暗号化するために暗号プロセッ
サ230によって使用される。
【0052】次に、図9の行2を参照して説明すると、
トンネル・マップ・エントリ500を作成するために、
リゾルバ225は内側ホスト140のAレコード内のデ
ータをフィールド1 510内のデスティネーション・
アドレスとして使用する。リゾルバ225は、それぞれ
SXレコードに示されているセキュア・エクスチェンジ
ャ(つまり、ファイアウォール110)のAレコードと
KEYレコード内のデータを使用してフィールド2 5
20とフィールド3 530を埋める。「リゾルバの機
能」のセクションで説明したように、フィールド4 5
40はSXレコードに示されているセキュア・エクスチ
ェンジャのカバレッジ有効範囲を示すために使用され
る。これは、ゾーン・データベースに置かれているとき
のSXレコードのオリジナル名を導き出し、それをフィ
ールド4 540にストアすることによって行われる。
従って、「オリジナル・データベース名」という用語は
ここでは、フィールド4 540の内容を意味するもの
として用いられ、以下では、リゾルバ225がどのよう
にしてこの名前を導き出すかについて説明する。
【0053】リゾルバ225はSXレコードのSIGレ
コードのラベル・フィールドに入っているカウントを使
用して、応答の中で送られたレコードの所有者名からラ
ベルをいくつ残しておくべきかを判断する。例えば、S
Xレコード(およびその関連SIGレコード)の所有者
名がeng.sun.com.であり、ラベル・フィールド・カ
ウントが2であれば、オリジナル・データベース名は
*.sun.com. となる。カウントが3であれば、応答の中
で送られるオリジナル・データベース名とレコードの所
有者名はどちらもeng.sun.com.となる。ゾーン・データ
ベースではワイルドカード名が使用されるのが代表的で
あるが、当業者ならば理解されるように、ワールドカー
ド名は必須ではない。ゾーン・データベースにワイルド
カードを使用していない本発明の実施例では、リゾルバ
225はこれに代わる方法として、応答の中で送られた
SXまたはSIGレコードから名前を抜き出すといった
ように、他の方法でオリジナル・データベース名を導き
出すこともできる。フィールド4 540にオリジナル
・データベース名が満たされると、トンネル・マップ・
エントリ500は完成する。「リゾルバの機能」のセク
ションで説明したように、フィールド4 540はデー
タ構造の中の新規フィールドであり、そこにはアウトバ
ウンド・セキュア・メッセージ情報が収められており、
本発明の一実施例では、この情報を使用してSXレコー
ドに示されたセキュア・エクスチェンジャのカバレッジ
有効範囲を示している。
【0054】次に、図6を参照して説明すると、トンネ
ル・マップ・エントリ500を作成した後、リゾルバ2
25はステップ435で内側ホスト140のアドレスを
アプリケーション215に戻す。実行がここで終わる
と、トンネル・マップ・エントリ500には、暗号プロ
セッサ230が内側ホスト140へのメッセージを暗号
化するために必要な一切の情報が入っているので、アプ
リケーション215は内側ホスト140と機密に通信す
ることが可能になる。1ネーム・サーバが使用され、ネ
ットワーク・トポロジが隠されていない場合の実施例で
は、以上によって実行が完了する。
【0055】2.2サーバ実施例 ネットワーク・トポロジが隠されている場合の実施例
は、2ネーム・サーバを使用して実現することができ
る。図1を参照して説明すると、外側NS120はドメ
イン100の登録ネーム・サーバとなり、ドメイン・デ
ータベースは内側ホスト140のAレコードを含まない
ことになる。その代わりに、このレコードは保護ゾーン
180の権限をもつネーム・サーバである、内側NS1
30によって使用されるゾーン・データベースに置かれ
ることになる。従って、この実施例では、内側ホスト1
40のアドレスに関するアプリケーション215からの
照会に対する最初の応答は外側NS120から送信され
る。図11は、この応答の例を示す図である。外側NS
120のデータベースは内側ホスト140のAレコード
を含んでいないので、リゾルバ225がステップ415
で受信した最初の応答にはAレコードが入っていない。
しかし、この実施例では、応答にはファイアウォール1
10をセキュア・エクスチェンジャとして示すSXレコ
ードと、内側NS130をゾーンの権限をもつネーム・
サーバとして示す、少なくとも1つのNSレコードが入
っている。従って、リゾルバ225がステップ425で
Aレコードがあるかどうか応答をチェックしても、Aレ
コードは見つからないので実行はステップ440にジャ
ンプする。
【0056】次に、図7を参照して説明すると、ステッ
プ440でリゾルバ225はまだ照会されていないネー
ム・サーバ、つまり、外側NS120以外のネーム・サ
ーバを収めているNSレコードがあるかどうか応答をチ
ェックする。従って、この実施例では、実行がステップ
440まで初めて到達すると、リゾルバ225は内側N
S130を示すNSレコードとファイアウォール110
を示すSXレコードを応答から探す。なお、この時点で
NSレコードがなければ、エラーが発生しているので、
実行は終了する。
【0057】「登録ネーム・サーバで実現される発明」
のセクションで上述したように、応答には内側NS13
0のAレコードのほかに、ファイアウォール110のA
レコードとKEYレコードも含まれている場合がある。
これらの追加レコードが応答になければ、リゾルバ22
5は必要に応じて追加の照会(図8には示していない)
を行う。また、上述したように、すべての該当SIGレ
コードはいずれかの応答に含まれている(つまり、各レ
コード・タイプとレコード所有者名の組み合わせごとに
1つのSIGレコード)。リゾルバ225がこれらのレ
コードすべてを受信すると、実行はステップ445から
続行され、そこでリゾルバ225は図9に示すようにト
ンネル・マップ・エントリ500を作成する。
【0058】次に、図9の行3を参照して説明すると、
トンネル・マップ・エントリ500を作成するために、
リゾルバ225は内側NS130のAレコードに入って
いるデータをフィールド1 510内のデスティネーシ
ョン・アドレスとして使用する。リゾルバ225は、そ
れぞれSXレコードに示されたセキュア・エクスチェン
ジャ(つまり、ファイアウォール110)のAレコード
とKEYレコードに入っているデータを使用してフィー
ルド2 520とフィールド3 530を埋める。フィ
ールド4 540を埋めるために、リゾルバ225はゾ
ーン・データベースに置かれているときのSXレコード
のオリジナル名を導き出す。リゾルバ225がどのよう
にしてこのオリジナル・データベース名を導き出すかの
詳しい説明は「1サーバ実施例」のセクションに記載さ
れている。
【0059】次に、図7を参照して説明すると、トンネ
ル・マップ・エントリ500を作成した後、ステップ4
50でリゾルバ225は処理したばかりのNSレコード
からのネーム・サーバ(つまり、内側NS130)を
「最良の推量」としてSLIST構造に挿入する。SL
ISTの詳細は「リゾルバの機能」のセクションに説明
されている。次に、図6を参照して説明すると、実行は
ステップ410にジャンプし、そこでネーム・サーバま
でのレフェラルチェインは内側NS130(内側ホスト
140のゾーンのネーム・サーバ)に通じることにな
る。そのあと、内側ホスト140のアドレスに関するア
プリケーション215からの照会は最後のトンネル・マ
ップ・エントリ500のフィールド1 510、フィー
ルド2 520、およびフィールド3 530を使用し
て暗号プロセッサ230によって暗号化される。照会が
内側NS130に到達すると、サーバは標準応答(例え
ば、Aレコードおよび対応するSIGレコード)をリク
エスタに送信する。図12はこの応答の例を示す図であ
る。
【0060】ステップ415で、リゾルバ225は応答
を受信し、ステップ420で、リゾルバ225はSXレ
コードがあるかどうかをチェックする。SXレコードが
なければ、実行はステップ455にジャンプし(図8参
照)、そこでリゾルバ225は内側ホスト140のAレ
コードがあるかどうかをチェックする。そのようなAレ
コードがなければ、実行は終了する。そうでなければ、
ステップ460で、リゾルバ225はSXレコードによ
って作成され、そのオリジナル・データベース名が内側
ホスト140の名前に一致しているエントリがトンネル
・マップにあるかどうかをチェックする。そのようなエ
ントリがなければ、ステップ465でリゾルバ225は
ホストのアドレスをアプリケーションに戻し、実行は終
了する。一致するエントリがあれば、ステップ470で
リゾルバ225は別のトンネル・マップ・エントリ50
0を追加する。
【0061】次に、図9の行4を参照して説明すると、
リゾルバ225は内側ホスト140のAレコード内のデ
ータをフィールド1 510内のデスティネーション・
アドレスとして使用する。他のフィールドを完成するた
めに、リゾルバ225は、フィールド4 540内のオ
リジナル・データベース名が内側ホスト140の名前に
最も多くの一致ラベルをもっている、既存のトンネル・
マップ・エントリ500を使用する。例えば、eng.sun.
com が内側ホスト140の名前であれば、eng.sun.com
は*sun.com.よりも多くの一致ラベルをもつことにな
る。リゾルバ225は既存エントリからのフィールドを
使用して、様々な方法で新規エントリを作成することが
できる。例えば、リゾルバ225はエントリを既存エン
トリから新規エントリにコピーすることも、あるいはリ
ゾルバ225は単純にポインタを使用することもでき
る。
【0062】トンネル・マップ・エントリ500を作成
した後、リゾルバ225はステップ475で内側ホスト
140のアドレスをアプリケーション215に戻す。実
行がここで終了していれば、アプリケーション215
は、暗号プロセッサ230が内側ホスト140へのメッ
セージを暗号化するために必要とするすべての情報がト
ンネル・マップ・エントリに入っているので、内側ホス
ト140と機密に通信することが可能になる。2ネーム
・サーバが使用され、ネットワーク・トポロジが隠され
ている場合の実施例では、以上により実行が完了する。
【0063】K その他の実施例 本発明は上述してきた2つの実施例に限定されるもので
はない。例えば、本発明は複数のゾーンを含むドメイン
で実現することが可能である。そのような実施例では、
登録ネーム・サーバは照会を、権限をもつ複数のゾーン
・ネーム・サーバに送ることができる。
【0064】別の実施例では、本発明は私用ネットワー
ク内のセキュリティを保証するように実現することが可
能である。当業者に公知であるように、ネーム・サーバ
・ソフトウェアはスタンドアローン・ネットワークにイ
ンストールすることができる。そのような実施例では、
該当のネーム・サーバは上述した登録ネーム・サーバと
権限をもつネーム・サーバの機能を実行するように構成
されることになる。
【0065】さらに別の実施例では、リゾルバはホスト
のAレコードを要求する前にSXレコードを要求するこ
とも可能である。そのような実施例では、SXレコード
は登録ネーム・サーバによって自動的に送信されないこ
とになる。
【0066】さらに別の実施例では、許可クライアント
から保護ネーム・サーバへの照会はホストのアドレス以
外の情報に対するものにすることが可能である。この実
施例では、登録ネーム・サーバからの応答は保護ネーム
・サーバのゾーン・データベース内の情報に関するセキ
ュア照会を送信するために使用できる。この実施例で
は、セキュア・エクスチェンジャのカバレッジ有効範囲
を示すオリジナル・データベース名は、ネーム・サーバ
のトンネル・マップ・エントリだけが使用されるので必
要でない。
【0067】リゾルバ機能がアプリケーションに組み込
まれているときは他の実施例も可能である。例えば、ア
プリケーションが作成するトンネル・マップはプログラ
ムが実行中のときだけ存在させることができる。別の方
法として、トンネル・マップを存続させるが、プログラ
ムだけがアクセス可能にすることもできる(例えば、オ
ペレーティング・システム235にはそのことを知らせ
ないようにする)。
【0068】さらに、開示した実施例の種々ステップは
他の組み合わせで組み合わせることが可能である。登録
ネーム・サーバからの応答が要求されたホストのアドレ
スを含み、トンネル・マップが既存エントリを含んでい
て、オリジナル・データベース名が要求されたホストの
名前と一致している場合には、そのような実施例は実現
可能である。この実施例では、新規のトンネル・マップ
・エントリは既存エントリを使用して、要求されたホス
トのために作成されることになる。
【0069】当業者ならば理解されるように、これまで
に説明してきた本発明の精神と範囲から逸脱しない限
り、本発明はさらに別の実施例で実現することも可能で
ある。なお、かかる実施例は請求の範囲に記載されてい
る本発明の範囲内に属することはもちろんである。
【図面の簡単な説明】
【図1】本発明の実施例を実行させることができる代表
的なインターネット構成を示す図である。
【図2】本発明が実現されているクライアントの構成例
を示す図である。
【図3】本発明が実現されているクライアントの構成例
を示す図である。
【図4】本発明が実現されているクライアントの構成例
を示す図である。
【図5】ドメインの登録ネーム・サーバで実行されると
きの本発明の一実施例のフローチャートである。
【図6】クライアントで実行されるときの本発明の一実
施例のフローチャートである。
【図7】クライアントで実行されるときの本発明の一実
施例のフローチャートである。
【図8】クライアントで実行されるときの本発明の一実
施例のフローチャートである。
【図9】本発明の一実施例によって使用されるトンネル
・マップの例を示す図である。
【図10】クライアントからのアドレス照会に対する応
答の例を示す図である。
【図11】クライアントからのアドレス照会に対する応
答の例を示す図である。
【図12】クライアントからのアドレス照会に対する応
答の例を示す図である。
【符号の説明】
100 ドメイン 110 ファイアウォール 120 外側NS 130 内側NS 140 保護ホスト 150 内側クライアント 160 LAN 180 保護ゾーン 182 外側クライアント 184 外側ホスト 186 LAN 190 公衆ネットワーク 210 許可クライアント 215 アプリケーション 220 構成ファイル 225 リゾルバ 230 暗号プロセッサ 250 ローカルNS 500 トンネル・マップ・エントリ
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 FI H04L 12/56 (71)出願人 591064003 901 SAN ANTONIO ROAD PALO ALTO,CA 94303,U. S.A. (72)発明者 トーマス マークソン アメリカ合衆国 94402 カリフォルニア 州 サン マテオ マウンヅ ロード 30 アパートメント 206

Claims (70)

    【特許請求の範囲】
  1. 【請求項1】 第1マシンによって使用される情報を動
    的に更新して前記第1マシンによる第2マシンへのセキ
    ュア・アクセスを容易化するための方法であって、 (a)前記第2マシンを収容しているドメインに関する
    照会を受信し、 (b)前記照会に応答するために必要な情報を要求する
    ために前記ドメインの第1ネーム・サーバに連絡し、 (c)前記第1ネーム・サーバから第1応答を受信し、 (d)前記第2マシンに対応するセキュア・エクスチェ
    ンジャのIDを、前記第1応答の中のリソース・レコー
    ドから抜き出し、 (e)該第1マシンによって使用される第1データ構造
    を前記IDを使用して更新して該第2マシンへのセキュ
    ア・アクセスを容易化するためのステップを含むことを
    特徴とする方法。
  2. 【請求項2】 請求項1に記載の方法において、前記照
    会を生成するアプリケーション・プログラムによって実
    行されることを特徴とする方法。
  3. 【請求項3】 請求項1に記載の方法において、前記第
    1データ構造を更新する前記ステップは前記マシンのア
    ドレスを記録することを含むことを特徴とする方法。
  4. 【請求項4】 請求項1に記載の方法において、前記第
    1データ構造を更新する前記ステップは前記セキュア・
    エクスチェンジャの前記IDを記録することを含むこと
    を特徴とする方法。
  5. 【請求項5】 請求項1に記載の方法において、前記第
    1データ構造を更新する前記ステップは前記セキュア・
    エクスチェンジャの暗号データ項目を記録することを含
    むことを特徴とする方法。
  6. 【請求項6】 請求項5に記載の方法において、前記セ
    キュア・エクスチェンジャの前記暗号データ項目は暗号
    キーであることを特徴とする方法。
  7. 【請求項7】 請求項5に記載の方法において、前記セ
    キュア・エクスチェンジャの前記暗号データ項目はセキ
    ュアDNS KEYリソース・レコードから取得される
    ことを特徴とする方法。
  8. 【請求項8】 請求項5に記載の方法において、前記セ
    キュア・エクスチェンジャの前記暗号データ項目は暗号
    アルゴリズムであることを特徴とする方法。
  9. 【請求項9】 請求項1に記載の方法において、前記第
    1データ構造を更新する前記ステップは前記セキュア・
    エクスチェンジャに関係するオリジナル・データベース
    名を記録することを含むことを特徴とする方法。
  10. 【請求項10】 請求項9に記載の方法において、前記
    オリジナル・データベース名は前記第1応答の中の前記
    リソース・レコードに対応するシグネーチャ・リソース
    ・レコードからラベル・カウントを使用して導き出され
    ることを特徴とする方法。
  11. 【請求項11】 請求項9に記載の方法において、前記
    オリジナル・データベース名は前記第1応答の中の前記
    リソース・レコードからの所有者名であることを特徴と
    する方法。
  12. 【請求項12】 請求項1に記載の方法において、前記
    第2マシンは前記照会のサブジェクトであることを特徴
    とする方法。
  13. 【請求項13】 請求項12に記載の方法において、前
    記照会を受信する前記ステップは前記第2マシンのアド
    レスの要求を受信することを含むことを特徴とする方
    法。
  14. 【請求項14】 請求項1に記載の方法において、前記
    第2マシンは前記ドメインに関係する第2ネーム・サー
    バであることを特徴とする方法。
  15. 【請求項15】 請求項1に記載の方法において、前記
    セキュア・エクスチェンジャの前記IDは該セキュア・
    エクスチェンジャの名前であることを特徴とする方法。
  16. 【請求項16】 請求項15に記載の方法において、前
    記セキュア・エクスチャンジャの前記名前はDNS名で
    あることを特徴とする方法。
  17. 【請求項17】 請求項1に記載の方法において、前記
    セキュア・エクスチェンジャの前記IDは該セキュア・
    エクスチェンジャのアドレスであることを特徴とする方
    法。
  18. 【請求項18】 請求項1に記載の方法において、前記
    セキュア・エクスチェンジャは前記第2マシンを保護す
    るファイアウォールであることを特徴とする方法。
  19. 【請求項19】 請求項1に記載の方法において、前記
    セキュア・エクスチェンジャは前記第2セキュア・マシ
    ンであることを特徴とする方法。
  20. 【請求項20】 請求項1に記載の方法において、前記
    第1データ構造はアクセス・コントロール・リストであ
    ることを特徴とする方法。
  21. 【請求項21】 請求項1に記載の方法において、前記
    第1データ構造はトンネル・マップであることを特徴と
    する方法。
  22. 【請求項22】 請求項1に記載の方法において、前記
    第1データ構造を更新する前記ステップは該第1データ
    構造内に少なくとも1つのデータ・セットを作成するこ
    とを含むことを特徴とする方法。
  23. 【請求項23】 請求項22に記載の方法において、 (a)前記第1応答を受信する前記ステップは前記第2
    マシンのアドレスを該第1応答から抜き出すことを含
    み、そこでは該第2マシンは前記照会のサブジェクトと
    なっており、 (b)前記データ・セットを作成する前記ステップは、 (i)前記セキュア・エクスチェンジャの前記IDを使
    用して、該セキュア・エクスチェンジャのパラメータを
    導き出し、 (ii)該セキュア・エクスチェンジャに関係するオリジ
    ナル・データベース名を導き出し、 (iii )a)前記第2マシンの前記アドレス、b)該セ
    キュア・エクスチェンジャの前記パラメータ、および
    c)前記オリジナル・データベース名を該データ・セッ
    トとしてストアすることを含むことを特徴とする方法。
  24. 【請求項24】 請求項23に記載の方法において、前
    記セキュア・エクスチェンジャの前記パラメータを導き
    出す前記ステップは前記第1応答から該パラメータを抜
    き出すことを含むことを特徴とする方法。
  25. 【請求項25】 請求項23に記載の方法において、前
    記セキュア・エクスチェンジャの前記パラメータを導き
    出す前記ステップは該パラメータに関して追加の照会を
    行うことを含むことを特徴とする方法。
  26. 【請求項26】 請求項23に記載の方法において、前
    記パラメータを導き出す前記ステップは該パラメータを
    前記IDと等しいものと定義することを含むことを特徴
    とする方法。
  27. 【請求項27】 請求項23に記載の方法において、前
    記パラメータは前記セキュア・エクスチェンジャの暗号
    データ項目であることを特徴とする方法。
  28. 【請求項28】 請求項22に記載の方法において、 (a)前記第1応答を受信する前記ステップは前記ドメ
    インに関係する第2ネーム・サーバのアドレスを導き出
    すことを含み、前記第2ネーム・サーバは該第1応答の
    中に指定されており、 (b)前記データ・セットを作成する前記ステップは、 (i)前記セキュア・エクスチェンジャの前記IDを使
    用して、該セキュア・エクスチェンジャのパラメータを
    導き出し、 (ii)該セキュア・エクスチェンジャに関係するオリジ
    ナル・データベース名を導き出し、 (iii )a)前記第2マシンの前記アドレス、b)該セ
    キュア・エクスチェンジャの前記パラメータ、および
    c)前記オリジナル・データベース名を第1データ・セ
    ットとしてストアすることを含むことを特徴とする方
    法。
  29. 【請求項29】 請求項28に記載の方法において、前
    記第2ネーム・サーバの前記アドレスを導き出す前記ス
    テップは前記第1応答から該アドレスを抜き出すことを
    含むことを特徴とする方法。
  30. 【請求項30】 請求項28に記載の方法において、前
    記第2ネーム・サーバの前記アドレスを導き出す前記ス
    テップは該アドレスに関して追加の照会を行うことを含
    むことを特徴とする方法。
  31. 【請求項31】 請求項28に記載の方法において、前
    記セキュア・エクスチェンジャの前記パラメータを導き
    出す前記ステップは該パラメータを前記第1応答から抜
    き出すことを含むことを特徴とする方法。
  32. 【請求項32】 請求項28に記載の方法において、前
    記セキュア・エクスチェンジャの前記パラメータを導き
    出す前記ステップは該パラメータに関して追加の照会を
    行うことを含むことを特徴とする方法。
  33. 【請求項33】 請求項28に記載の方法において、前
    記第2マシンは前記ドメインに関係する前記第2ネーム
    ・サーバであることを特徴とする方法。
  34. 【請求項34】 請求項28に記載の方法において、さ
    らに、 (a)前記第1データ・セットを使用して、前記照会に
    対する第2応答を取得し、 (b)前記第2マシンのアドレスを前記第2応答から抜
    き出し、 (c)該第2マシンの名前に最良に合致する既存のオリ
    ジナル・データベース名を収めている既存のデータ・セ
    ットを前記第1データ構造から判断し、 (d)前記既存のデータ・セットを使用して、(i)該
    第2マシンの前記アドレス、(ii)前記セキュア・エク
    スチェンジャの既存のパラメータ、および(iii )前記
    既存のオリジナル・データベース名を第2データ・セッ
    トにストアするステップを含むことを特徴とする方法。
  35. 【請求項35】 請求項34に記載の方法において、前
    記照会に対する前記第2応答を取得する前記ステップ
    は、 (a)ネーム・サーバの応答性に関する情報を収めてい
    る第2データ構造を更新して、前記第2ネーム・サーバ
    を次に照会するネーム・サーバとして含めておき、 (b)前記第2データ構造を使用して、該照会をリダイ
    レクトし、 (c)該照会に対する第2応答を受信するステップを含
    むことを特徴とする方法。
  36. 【請求項36】 請求項35に記載の方法において、前
    記第2データ構造はSLISTであることを特徴とする
    方法。
  37. 【請求項37】 請求項34に記載の方法において、前
    記既存のデータ・セットを使用する前記ステップは該既
    存のデータ・セットからのデータ項目を指し示すことを
    含むことを特徴とする方法。
  38. 【請求項38】 請求項34に記載の方法において、前
    記既存のデータ・セットを使用する前記ステップは該既
    存のデータ・セットからデータ項目をコピーすることを
    含むことを特徴とする方法。
  39. 【請求項39】 請求項22に記載の方法において、前
    記データ・セットはa)前記第2マシンのアドレスおよ
    びb)前記セキュア・エクスチェンジャのパラメータを
    含むことを特徴とする方法。
  40. 【請求項40】 請求項1に記載の方法において、前記
    ドメインの前記第1ネーム・サーバに連絡する前記ステ
    ップは前記照会を該第1ネーム・サーバに転送すること
    を含むことを特徴とする方法。
  41. 【請求項41】 請求項1に記載の方法において、前記
    ドメインの前記第1ネーム・サーバに連絡する前記ステ
    ップは前記セキュア・エクスチェンジャの前記IDを要
    求することを含むことを特徴とする方法。
  42. 【請求項42】 第1マシンによって使用される情報を
    動的に更新して、前記第1マシンによる第2マシンへの
    セキュア・アクセスを容易化するための方法であって、 (a)前記第2マシンのアドレスを取得し、 (b)該第2マシンへのセキュア・アクセスを容易化す
    るために該第1マシンによって使用されるデータ構造を
    使用して、該第2マシンの名前に最良に合致する既存の
    オリジナル・データベース名を収めている既存のデータ
    ・セットを前記データ構造から判断し、 (c)前記既存のデータ・セットを使用して、(i)該
    第2マシンの前記アドレス、(ii)セキュア・エクスチ
    ェンジャの既存のパラメータ、および(iii )前記既存
    のオリジナル・データベース名を第2データ・セットに
    ストアするステップを含んでいることを特徴とする方
    法。
  43. 【請求項43】 請求項42に記載の方法において、前
    記既存のデータ・セットを使用する前記ステップは該既
    存のデータ・セットからのデータ項目を指し示すことを
    含むことを特徴とする方法。
  44. 【請求項44】 請求項42に記載の方法において、前
    記既存のデータ・セットを使用する前記ステップは該既
    存のデータ・セットからデータ項目をコピーすることを
    含むことを特徴とする方法。
  45. 【請求項45】 請求項42に記載の方法において、前
    記第2マシンの前記アドレスを取得する前記ステップ
    は、 (a)前記アドレスの照会を受信し、 (b)前記照会を該第2マシンのドメインのネーム・サ
    ーバに転送し、 (c)前記ネーム・サーバから応答を受信し、 (d)前記応答から該アドレスを抜き出すステップを含
    むことを特徴とする方法。
  46. 【請求項46】 第1マシンによる第2マシンへのセキ
    ュア・アクセスを容易化するための方法であって、 (a)前記第2マシンを収容しているドメインに関係す
    る前記第1マシンからの照会を第1ネーム・サーバで受
    信し、 (b)該第2マシンに対応するセキュア・エクスチェン
    ジャのIDを取得し、 (c)前記IDを含んでいる応答を生成し、 (d)該第1マシンのために前記応答を送信し、該応答
    は該第2マシンへのセキュア・アクセスを容易化するた
    めに該第1マシンによって使用可能であることを特徴と
    する方法。
  47. 【請求項47】 請求項46に記載の方法において、前
    記照会は前記第2マシンのアドレスの要求を含んでいる
    ことを特徴とする方法。
  48. 【請求項48】 請求項46に記載の方法において、前
    記応答は前記第2マシンへのセキュア・アクセスのため
    に使用される情報を前記第1マシンが動的に更新するこ
    とを可能にすることを特徴とする方法。
  49. 【請求項49】 請求項48に記載の方法において、前
    記IDを取得する前記ステップは前記第2マシンに該当
    するデータベースから該IDを取得することを含むこと
    を特徴とする方法。
  50. 【請求項50】 請求項49に記載の方法において、前
    記応答を生成する前記ステップは、 (a)前記セキュア・エクスチェンジャのパラメータを
    取得し、 (b)前記パラメータを該応答に含めておくステップを
    含むことを特徴とする方法。
  51. 【請求項51】 請求項50に記載の方法において、前
    記セキュア・エクスチェンジャの前記パラメータは該セ
    キュア・エクスチェンジャのアドレスを含むことを特徴
    とする方法。
  52. 【請求項52】 請求項50に記載の方法において、前
    記セキュア・エクスチェンジャの前記パラメータは該セ
    キュア・エクスチェンジャの暗号データ項目を含むこと
    を特徴とする方法。
  53. 【請求項53】 請求項52に記載の方法において、前
    記セキュア・エクスチェンジャの前記暗号データ項目は
    暗号キーであることを特徴とする方法。
  54. 【請求項54】 請求項52に記載の方法において、前
    記セキュア・エクスチェンジャの暗号データ項目は暗号
    アルゴリズムであることを特徴とする方法。
  55. 【請求項55】 請求項49に記載の方法において、前
    記セキュア・エクスチェンジャは第3マシンであること
    を特徴とする方法。
  56. 【請求項56】 請求項55に記載の方法において、前
    記第3マシンは前記第2マシンを保護するファイアウォ
    ールであることを特徴とする方法。
  57. 【請求項57】 請求項49に記載の方法において、前
    記セキュア・エクスチェンジャは前記第2マシンである
    ことを特徴とする方法。
  58. 【請求項58】 請求項49に記載の方法において、前
    記セキュア・エクスチェンジャの前記IDは該セキュア
    ・エクスチェンジャの名前であることを特徴とする方
    法。
  59. 【請求項59】 請求項49に記載の方法において、前
    記セキュア・エクスチェンジャの前記IDは該セキュア
    ・エクスチェンジャのアドレスであることを特徴とする
    方法。
  60. 【請求項60】 請求項49に記載の方法において、前
    記照会に対する返答は前記データベースに存在せず、前
    記応答を生成する前記ステップは、 (a)前記第2マシンを収容している前記ドメインに関
    係する第2ネーム・サーバのIDを取得し、 (b)前記第2ネーム・サーバの前記IDを該応答に含
    めておくステップを含むことを特徴とする方法。
  61. 【請求項61】 請求項60に記載の方法において、前
    記応答を生成する前記ステップは前記第2ネーム・サー
    バのアドレスを前記応答に入れて提供することをさらに
    含むことを特徴とする方法。
  62. 【請求項62】 請求項49に記載の方法において、前
    記照会に対す返答は前記データベースに存在し、前記応
    答を生成する前記ステップは (a)該照会に対する前記返答を取得し、 (b)該照会に対する該返答を該応答に含めておくステ
    ップを含むことを特徴とする方法。
  63. 【請求項63】 第1マシンによる第2マシンへのセキ
    ュア・アクセスを容易化するためのシステムであって、 (a)前記第2マシンを収容しているドメインに関する
    照会を受信するように構成された制御ロジックと、 (b)前記ドメインの第1ネーム・サーバに連絡して、
    前記照会に応答するために必要な情報を要求するように
    構成された制御ロジックと、 (c)前記第1ネーム・サーバから第1応答を受信する
    ように構成された制御ロジックと、 (d)該第2マシンに対応するセキュア・エクスチェン
    ジャのIDを、前記第1応答の中のリソース・レコード
    から抜き出すように構成された制御ロジックと、 (e)該第2マシンへのセキュア・アクセスを容易化す
    るために前記第1マシンによって使用される第1データ
    構造を前記IDを使用して更新するように構成された制
    御ロジックであって、前記第1データ構造は該第2マシ
    ンに対応するデータ・セットを含んでいるものとを備え
    ていることを特徴とするシステム。
  64. 【請求項64】 請求項63に記載のシステムにおい
    て、前記照会を生成するように、および前記生成された
    照会を該照会を受信する前記ロジックに与えるように構
    成されたソフトウェア・アプリケーション・プログラム
    内に具現化されていることを特徴とするシステム。
  65. 【請求項65】 第1マシンによる第2マシンへのセキ
    ュア・アクセスを容易化するためのデータ構造を含んで
    いるコンピュータ可読媒体であって、前記データ構造
    は、 (a)前記第2マシンのアドレス、 (b)該第2マシンに対応するセキュア・エクスチェン
    ジャのパラメータ、および (c)前記セキュア・エクスチェンジャに関係するオリ
    ジナル・データベース名をもつトンネル・マップを含ん
    でいることを特徴とするコンピュータ可読媒体。
  66. 【請求項66】 請求項65に記載のコンピュータ可読
    データ構造において、前記オリジナル・データベース名
    は前記セキュア・エクスチェンジャを示すリソース・レ
    コードに対応するシグネーチャ・リソース・レコードか
    らラベル・カウントを使用して導き出されることを特徴
    とするコンピュータ可読データ構造。
  67. 【請求項67】 請求項65に記載のコンピュータ可読
    データ構造において、前記オリジナル・データベース名
    は前記セキュア・エクスチェンジャを示すリソース・レ
    コードからの所有者名であることを特徴とするコンピュ
    ータ可読データ構造。
  68. 【請求項68】 請求項65に記載のコンピュータ可読
    データ構造において、前記第1マシンに関連づけられた
    リゾルバ・プログラムによって生成されることを特徴と
    するコンピュータ可読データ構造。
  69. 【請求項69】 第1マシンによる第2マシンへのセキ
    ュア・アクセスを容易化するためのソフトウェア・プロ
    グラムを具現化しているコンピュータ可読媒体であっ
    て、前記ソフトウェア・プログラムは、 (a)前記第2マシンを収容しているドメインに関する
    照会を受信するように構成されたプログラム・コード
    と、 (b)前記ドメインの第1ネーム・サーバに連絡して、
    前記照会に応答するために必要な情報を要求するように
    構成されたプログラム・コードと、 (c)前記第1ネーム・サーバから第1応答を受信する
    ように構成されたプログラム・コードと、 (d)該第2マシンに対応するセキュア・エクスチェン
    ジャのIDを、前記第1応答の中のリソース・レコード
    から抜き出すように構成されたプログラム・コードと、 (e)該第2マシンへのセキュア・アクセスを容易化す
    るために前記第1マシンによって使用される第1データ
    構造を前記IDを使用して更新するように構成されたプ
    ログラム・コードであって、前記第1データ構造は該第
    2マシンに対応するデータ・セットを含んでいるものと
    を備えていることを特徴とするコンピュータ可読媒体。
  70. 【請求項70】 搬送波に具現化されていて、第1マシ
    ンによる第2マシンへのセキュア・アクセスを容易化す
    るためのコンピュータ・データ信号であって、該データ
    信号は、 (a)前記第2マシンを収容しているドメインに関する
    照会を受信するように構成されたコード・セグメントと (b)前記ドメインの第1ネーム・サーバに連絡して、
    前記照会に応答するために必要な情報を要求するように
    構成されたコード・セグメントと、 (c)前記第1ネーム・サーバから第1応答を受信する
    ように構成されたコード・セグメントと、 (d)該第2マシンに対応するセキュア・エクスチェン
    ジャのIDを、前記第1応答の中のリソース・レコード
    から抜き出すように構成されたコード・セグメントと、 (e)該第2マシンへのセキュア・アクセスを容易化す
    るために前記第1マシンによって使用される第1データ
    構造を前記IDを使用して更新するように構成されたコ
    ード・セグメントであって、前記第1データ構造は該第
    2マシンに対応するデータ・セットを含んでいるものと
    を含んでいることを特徴とするコンピュータ・データ信
    号。
JP18308898A 1997-06-27 1998-06-29 コンピュータ・ネットワークを利用したクライアント/ホスト間の通信方法と装置 Pending JPH11167536A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/883,676 US6119234A (en) 1997-06-27 1997-06-27 Method and apparatus for client-host communication over a computer network
US08/883,676 1997-06-27

Publications (1)

Publication Number Publication Date
JPH11167536A true JPH11167536A (ja) 1999-06-22

Family

ID=25383094

Family Applications (1)

Application Number Title Priority Date Filing Date
JP18308898A Pending JPH11167536A (ja) 1997-06-27 1998-06-29 コンピュータ・ネットワークを利用したクライアント/ホスト間の通信方法と装置

Country Status (4)

Country Link
US (1) US6119234A (ja)
EP (1) EP0887979A3 (ja)
JP (1) JPH11167536A (ja)
CA (1) CA2241437A1 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8843643B2 (en) 1998-10-30 2014-09-23 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US8874771B2 (en) 1998-10-30 2014-10-28 Virnetx, Inc. Agile network protocol for secure communications with assured system availability
US8943201B2 (en) 1998-10-30 2015-01-27 Virnetx, Inc. Method for establishing encrypted channel
US9860283B2 (en) 1998-10-30 2018-01-02 Virnetx, Inc. Agile network protocol for secure video communications with assured system availability
US10511573B2 (en) 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names

Families Citing this family (86)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6003007A (en) * 1996-03-28 1999-12-14 Dirienzo; Andrew L. Attachment integrated claims system and operating method therefor
US7058720B1 (en) * 1997-06-30 2006-06-06 Microsoft Corporation Geographical client distribution methods, systems and computer program products
US6760746B1 (en) 1999-09-01 2004-07-06 Eric Schneider Method, product, and apparatus for processing a data request
US6262987B1 (en) * 1998-03-26 2001-07-17 Compaq Computer Corp System and method for reducing latencies while translating internet host name-address bindings
US6557037B1 (en) * 1998-05-29 2003-04-29 Sun Microsystems System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses
US6829242B2 (en) * 1998-06-30 2004-12-07 Cisco Technology, Inc. Method and apparatus for associating PVC identifiers with domain names of home gateways
US6353854B1 (en) * 1998-10-01 2002-03-05 International Business Machines Corporation Automatic reconfiguration system for change in management servers having protocol destination addresses
US20010039624A1 (en) * 1998-11-24 2001-11-08 Kellum Charles W. Processes systems and networks for secured information exchange using computer hardware
US20020040439A1 (en) * 1998-11-24 2002-04-04 Kellum Charles W. Processes systems and networks for secure exchange of information and quality of service maintenance using computer hardware
US6754831B2 (en) * 1998-12-01 2004-06-22 Sun Microsystems, Inc. Authenticated firewall tunneling framework
IL143592A0 (en) 1998-12-07 2002-04-21 Network Ice Corp A method and apparatus for remote installation of network drivers and software
WO2000034867A1 (en) 1998-12-09 2000-06-15 Network Ice Corporation A method and apparatus for providing network and computer system security
JP3416552B2 (ja) * 1999-01-25 2003-06-16 パナソニック コミュニケーションズ株式会社 ネットワークサーバ装置、および通信端末能力交換方法
US9141717B2 (en) 1999-03-22 2015-09-22 Esdr Network Solutions Llc Methods, systems, products, and devices for processing DNS friendly identifiers
US7188138B1 (en) 1999-03-22 2007-03-06 Eric Schneider Method, product, and apparatus for resource identifier registration and aftermarket services
US6338082B1 (en) * 1999-03-22 2002-01-08 Eric Schneider Method, product, and apparatus for requesting a network resource
US8037168B2 (en) 1999-07-15 2011-10-11 Esdr Network Solutions Llc Method, product, and apparatus for enhancing resolution services, registration services, and search services
USRE43690E1 (en) 1999-03-22 2012-09-25 Esdr Network Solutions Llc Search engine request method, product, and apparatus
US8667051B2 (en) * 1999-03-22 2014-03-04 Esdr Network Solutions Llc Real-time communication processing method, product, and apparatus
JP3170491B2 (ja) * 1999-03-29 2001-05-28 松下電送システム株式会社 画像通信装置及びサーバ装置並びに能力交換方法
WO2000065511A2 (en) * 1999-04-22 2000-11-02 Network Solutions, Inc. A shared registration system for registering domain names
US7346929B1 (en) 1999-07-29 2008-03-18 International Business Machines Corporation Method and apparatus for auditing network security
US6449657B2 (en) * 1999-08-06 2002-09-10 Namezero.Com, Inc. Internet hosting system
US6687746B1 (en) * 1999-08-30 2004-02-03 Ideaflood, Inc. System apparatus and method for hosting and assigning domain names on a wide area network
USRE44207E1 (en) 1999-09-01 2013-05-07 Esdr Network Solutions Llc Network resource access method, product, and apparatus
JP3220441B2 (ja) * 1999-10-08 2001-10-22 松下電送システム株式会社 画像送信装置および画像送信方法
US8006243B2 (en) 1999-12-07 2011-08-23 International Business Machines Corporation Method and apparatus for remote installation of network drivers and software
SE517217C2 (sv) * 1999-12-29 2002-05-07 Ericsson Telefon Ab L M Metod och system för kommunikation mellan olika nätverk
US7933968B1 (en) * 2000-06-20 2011-04-26 Koninklijke Philips Electronics N.V. Token-based personalization of smart appliances
US6662228B1 (en) * 2000-02-01 2003-12-09 Sun Microsystems, Inc. Internet server authentication client
US6978373B1 (en) * 2000-03-22 2005-12-20 International Business Machines Corporation Methods systems and computer program products for providing secure client profile completion by network intermediaries
WO2001084775A2 (en) 2000-04-28 2001-11-08 Internet Security Systems, Inc. System and method for managing security events on a network
IL152502A0 (en) 2000-04-28 2003-05-29 Internet Security Systems Inc Method and system for managing computer security information
US7200863B2 (en) * 2000-05-16 2007-04-03 Hoshiko Llc System and method for serving content over a wide area network
US6907531B1 (en) 2000-06-30 2005-06-14 Internet Security Systems, Inc. Method and system for identifying, fixing, and updating security vulnerabilities
US7093239B1 (en) 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US7840692B1 (en) * 2000-08-15 2010-11-23 Ciena Corporation System, device, and method for bandwidth management in an optical communication system
US9027121B2 (en) 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
EP1325582B1 (en) * 2000-10-10 2020-02-12 Nokia Technologies Oy Techniques for hiding network element names and addresses
US20020069238A1 (en) * 2000-12-05 2002-06-06 Eard Douglas F. Technique to transfer data over a network
WO2002061544A2 (en) 2001-01-31 2002-08-08 Internet Security Systems, Inc. Method and system for configuring and scheduling security audits of a computer network
FI20010596A0 (fi) * 2001-03-22 2001-03-22 Ssh Comm Security Oyj Turvallisuusjärjestelmä tietoliikenneverkkoa varten
US7562388B2 (en) * 2001-05-31 2009-07-14 International Business Machines Corporation Method and system for implementing security devices in a network
US7657419B2 (en) 2001-06-19 2010-02-02 International Business Machines Corporation Analytical virtual machine
US8239531B1 (en) 2001-07-23 2012-08-07 At&T Intellectual Property Ii, L.P. Method and apparatus for connection to virtual private networks for secure transactions
US7827292B2 (en) * 2001-07-23 2010-11-02 At&T Intellectual Property Ii, L.P. Flexible automated connection to virtual private networks
US7827278B2 (en) * 2001-07-23 2010-11-02 At&T Intellectual Property Ii, L.P. System for automated connection to virtual private networks related applications
US7284056B2 (en) * 2001-10-04 2007-10-16 Microsoft Corporation Resolving host name data
WO2003058451A1 (en) 2002-01-04 2003-07-17 Internet Security Systems, Inc. System and method for the managed security control of processes on a computer system
US7565402B2 (en) 2002-01-05 2009-07-21 Eric Schneider Sitemap access method, product, and apparatus
US7913303B1 (en) 2003-01-21 2011-03-22 International Business Machines Corporation Method and system for dynamically protecting a computer system from attack
US7299491B2 (en) * 2003-04-30 2007-11-20 Microsoft Corporation Authenticated domain name resolution
US7694021B1 (en) 2003-05-28 2010-04-06 Cisco Technology, Inc. Firewall for gateway network elements between IP based networks
WO2005008980A1 (en) * 2003-07-03 2005-01-27 Sinett Corporation Unified wired and wireless switch architecture
US7599938B1 (en) 2003-07-11 2009-10-06 Harrison Jr Shelton E Social news gathering, prioritizing, tagging, searching, and syndication method
US6986049B2 (en) * 2003-08-26 2006-01-10 Yahoo! Inc. Method and system for authenticating a message sender using domain keys
US7313700B2 (en) * 2003-08-26 2007-12-25 Yahoo! Inc. Method and system for authenticating a message sender using domain keys
US7870604B1 (en) 2003-08-29 2011-01-11 Cisco Technology, Inc. Methods and apparatus to configure network nodes supporting virtual connections
US7657938B2 (en) 2003-10-28 2010-02-02 International Business Machines Corporation Method and system for protecting computer networks by altering unwanted network data traffic
US7987251B2 (en) * 2005-09-16 2011-07-26 Microsoft Corporation Validation of domain name control
US7925786B2 (en) * 2005-09-16 2011-04-12 Microsoft Corp. Hosting of network-based services
US8244812B2 (en) * 2005-09-16 2012-08-14 Microsoft Corporation Outsourcing of email hosting services
US8234340B2 (en) * 2005-09-16 2012-07-31 Microsoft Corporation Outsourcing of instant messaging hosting services
US20070214232A1 (en) * 2006-03-07 2007-09-13 Nokia Corporation System for Uniform Addressing of Home Resources Regardless of Remote Clients Network Location
US8929360B2 (en) 2006-12-07 2015-01-06 Cisco Technology, Inc. Systems, methods, media, and means for hiding network topology
US8219494B1 (en) * 2007-08-16 2012-07-10 Corbis Corporation End-to-end licensing of digital media assets
US8756340B2 (en) * 2007-12-20 2014-06-17 Yahoo! Inc. DNS wildcard beaconing to determine client location and resolver load for global traffic load balancing
US20100106854A1 (en) * 2008-10-29 2010-04-29 Hostway Corporation System and method for controlling non-existing domain traffic
US8694659B1 (en) * 2010-04-06 2014-04-08 Symantec Corporation Systems and methods for enhancing domain-name-server responses
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
US9106699B2 (en) * 2010-11-04 2015-08-11 F5 Networks, Inc. Methods for handling requests between different resource record types and systems thereof
US9843554B2 (en) 2012-02-15 2017-12-12 F5 Networks, Inc. Methods for dynamic DNS implementation and systems thereof
US9609017B1 (en) 2012-02-20 2017-03-28 F5 Networks, Inc. Methods for preventing a distributed denial service attack and devices thereof
US9420008B1 (en) * 2012-05-10 2016-08-16 Bae Systems Information And Electronic Systems Integration Inc. Method for repurposing of communications cryptographic capabilities
CN103546432B (zh) * 2012-07-12 2015-12-16 腾讯科技(深圳)有限公司 实现跨域跳转的方法和系统以及浏览器、域名服务器
US9282116B1 (en) 2012-09-27 2016-03-08 F5 Networks, Inc. System and method for preventing DOS attacks utilizing invalid transaction statistics
US20150113125A1 (en) * 2013-10-23 2015-04-23 Cisco Technology Inc. System and Method for Providing the Status of Safety Critical Systems to Untrusted Devices
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US9954840B2 (en) * 2015-05-08 2018-04-24 Cloudflare, Inc. Generating a negative answer to a domain name system query that indicates resource records as existing for the domain name regardless of whether those resource records actually exist for the domain name
US10033699B2 (en) 2015-05-08 2018-07-24 Cloudflare, Inc. Transparent DNSSEC-signing proxy
US10542117B2 (en) 2015-09-03 2020-01-21 Verisign, Inc. Systems and methods for providing secure access to shared registration systems
US11329821B2 (en) * 2015-12-28 2022-05-10 Verisign, Inc. Shared registration system
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
FR3140502A1 (fr) * 2022-09-29 2024-04-05 Orange Procédé de traitement d’une requête de résolution de nom, procédé de communication, procédé de traitement de messages et serveur, dispositif client et nœud relais configurés pour mettre en œuvre ces procédés

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5649099A (en) * 1993-06-04 1997-07-15 Xerox Corporation Method for delegating access rights through executable access control program without delegating access rights not in a specification to any intermediary nor comprising server security
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
JPH0981519A (ja) * 1995-09-08 1997-03-28 Kiyadeitsukusu:Kk ネットワーク上の認証方法
US5850446A (en) * 1996-06-17 1998-12-15 Verifone, Inc. System, method and article of manufacture for virtual point of sale processing utilizing an extensible, flexible architecture
US5828833A (en) * 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US5778174A (en) * 1996-12-10 1998-07-07 U S West, Inc. Method and system for providing secured access to a server connected to a private computer network

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8843643B2 (en) 1998-10-30 2014-09-23 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US8850009B2 (en) 1998-10-30 2014-09-30 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US8868705B2 (en) 1998-10-30 2014-10-21 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US8874771B2 (en) 1998-10-30 2014-10-28 Virnetx, Inc. Agile network protocol for secure communications with assured system availability
US8904516B2 (en) 1998-10-30 2014-12-02 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US8943201B2 (en) 1998-10-30 2015-01-27 Virnetx, Inc. Method for establishing encrypted channel
US9027115B2 (en) 1998-10-30 2015-05-05 Virnetx, Inc. System and method for using a registered name to connect network devices with a link that uses encryption
US9037713B2 (en) 1998-10-30 2015-05-19 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US9038163B2 (en) 1998-10-30 2015-05-19 Virnetx, Inc. Systems and methods for connecting network devices over communication network
US9077694B2 (en) 1998-10-30 2015-07-07 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US9077695B2 (en) 1998-10-30 2015-07-07 Virnetx, Inc. System and method for establishing an encrypted communication link based on IP address lookup requests
US9094399B2 (en) 1998-10-30 2015-07-28 Virnetx, Inc. Method for establishing secure communication link between computers of virtual private network
US9100375B2 (en) 1998-10-30 2015-08-04 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US9374346B2 (en) 1998-10-30 2016-06-21 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US9386000B2 (en) 1998-10-30 2016-07-05 Virnetx, Inc. System and method for establishing a communication link
US9413766B2 (en) 1998-10-30 2016-08-09 Virnetx, Inc. Method for establishing connection between devices
US9479426B2 (en) 1998-10-30 2016-10-25 Virnetz, Inc. Agile network protocol for secure communications with assured system availability
US9819649B2 (en) 1998-10-30 2017-11-14 Virnetx, Inc. System and method employing an agile network protocol for secure communications using secure domain names
US9860283B2 (en) 1998-10-30 2018-01-02 Virnetx, Inc. Agile network protocol for secure video communications with assured system availability
US9967240B2 (en) 1998-10-30 2018-05-08 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US10187387B2 (en) 1998-10-30 2019-01-22 Virnetx, Inc. Method for establishing connection between devices
US10511573B2 (en) 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names

Also Published As

Publication number Publication date
CA2241437A1 (en) 1998-12-27
US6119234A (en) 2000-09-12
EP0887979A2 (en) 1998-12-30
EP0887979A3 (en) 2001-02-14

Similar Documents

Publication Publication Date Title
JPH11167536A (ja) コンピュータ・ネットワークを利用したクライアント/ホスト間の通信方法と装置
US6131120A (en) Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers
US6557037B1 (en) System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses
US6961783B1 (en) DNS server access control system and method
Vixie et al. Secret key transaction authentication for DNS (TSIG)
US6304908B1 (en) Mechanism for delivering a message based upon a source address
US9705867B2 (en) Content restriction compliance using reverse DNS lookup
US7299491B2 (en) Authenticated domain name resolution
US6751728B1 (en) System and method of transmitting encrypted packets through a network access point
JP3492920B2 (ja) パケット検証方法
US6986047B2 (en) Method and apparatus for serving content from a semi-trusted server
EP1134955A1 (en) Enterprise network management using directory containing network addresses of users and devices providing access lists to routers and servers
US6928167B1 (en) Method for managing public key
Schuba et al. Addressing weaknesses in the domain name system protocol
JPH10111848A (ja) 照会要求を向けなおすことによってドメインネームシステムの個人情報へのアクセスを制限する方法と装置
WO2001043358A2 (en) Truly anonymous communications using supernets, with the provision of topology hiding
JP2009295187A (ja) ファイアウォールサービス提供方法
Atkinson Key Exchange Delegation Record for the DNS
WO2001043393A2 (en) Decoupling access control from key management in a network
JP4469120B2 (ja) ドメイン・ネーム内にユーザ情報をエンコードするためのシステムおよび方法
Yan et al. The road to DNS privacy
JP2003316742A (ja) シングルサインオン機能を有する匿名通信方法および装置
Vixie et al. RFC2845: Secret Key Transaction Authentication for DNS (TSIG)
JP2003283570A (ja) 通信ネットワークシステムおよびデータ通信方法
Haddad et al. The Basics of DNSSEC

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041203

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20050303

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050303

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20050308

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050902