CN1199418C - 安全会话定序的代理系统及其方法 - Google Patents
安全会话定序的代理系统及其方法 Download PDFInfo
- Publication number
- CN1199418C CN1199418C CNB008105944A CN00810594A CN1199418C CN 1199418 C CN1199418 C CN 1199418C CN B008105944 A CNB008105944 A CN B008105944A CN 00810594 A CN00810594 A CN 00810594A CN 1199418 C CN1199418 C CN 1199418C
- Authority
- CN
- China
- Prior art keywords
- server
- main frame
- data
- user terminal
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供一种保护服务提供者主机的安全以防止对于这些主机的未授权的访问的系统和方法。该系统不需要在用户的终端上安装任何特殊的软件,并允许在服务提供者的专用网络中方便的地点逻辑地和物理地定位服务提供者的主机。用户可以定位于诸如因特网的全球公共网络中的任何地方。该系统使用一个与第一网络耦合的第一服务器,其中所述的第一服务器从用户终端那里接收一个会话建立请求,并响应该会话建立请求而产生一个连接请求。一个与所述的第一服务器和第二网络耦合的第二服务器接收该连接请求,并根据该连接请求建立与主机的通信。所述的第二服务器通过在第一服务器向第二服务器发送所述的连接请求之前与该第一服务器建立一个通信控制会话来启动通信。
Description
技术领域
本发明涉及网络数据通信,更特别地涉及在公共用户和内部主机之间建立安全的数据通信会话,其中所述主机和内部网络受到保护,不被未授权地访问。
背景技术
诸如因特网的全球计算机网络的用户和服务的激增引发了用户和服务提供者的安全考虑。用户希望他们提交给提供者的数据和他们从提供者那里接收的数据免于未授权的拦截和使用。同样地,服务提供者希望他们的主机和系统受到保护,不被“黑客”未授权地访问和侵入。服务提供者,特别是与金融服务有关的服务提供者,将他们的计算的硬件和软件看成是非常重要的资产。这些服务提供者依赖于他们的客户的信任,这些客户设想没有人能够访问用户记录或者以别的方式带有敌意地冲击该服务。
现有的在线服务使用专用拨号设施以及客户化用户终端和主机系统上的安全软件以防止未授权的访问。换句话说,用户被迫通过拨叫一个特殊的电话号码来访问服务提供者的系统。传送的数据通过加密得到安全保护,而进来的拨号呼叫仅接受来自授权用户的。在提供者的主机系统上也执行安全软件。这样做在客户们开始预订多个在线服务的时候效率非常低而且麻烦。
诸如因特网的全球计算机网络允许用户从他们的计算机通过单个接入连接访问许多不同的主机和服务。在这样增强了用户访问信息和处理业务的能力的同时,全球联网使得服务提供者的安全机制更加复杂。例如,服务提供者必须允许每个人对他们站点的入站(从网络到服务)访问。这是因为服务提供者不能肯定起始计算机的地址,所述计算机地址诸如TCP/IP(传输控制协议/互联网协议)地址,实际的或预期的用户从该地址进行通信。以逐个地址为基础来允许访问是非常低效和不切实际的,特别由于在每次用户连接到他们的网络接入提供者时计算机地址都可能改变。因此,服务提供者必须允许访问整个网络,而服务提供者被迫使用其它方法来保护对他们主机的访问的安全和保护包含在他们的主机上的数据的安全。
已经开发出了许多安全系统和方法,它们同时在用户终端和主机系统上使用特殊的安全软件。这些类型的安全系统采用一个使用数据加密和用于认证的数字签名的公共和专用密钥对询问机制。它提供一个安全会话,但每个用户必须拥有该软件的一份拷贝以便访问该主机。提供这种访问软件的服务提供者必须提供客户安装支持和问题确定的服务,而且还必须在需要时更新该特殊软件。这增加了系统的复杂性和提高了提供服务的成本。
其它加密软件,如安全套接字层(SSL)信号交换协议,用于客户和主机的认证。SSL是独立于应用的,它协商加密密钥,并允许用户终端在允许数据通信之前认证主机。SSL一般在因特网的万维网浏览器软件中执行。这样,它为保护用户与主机之间的数据传输的安全提供便利。这使得用户确信他们的终端与主机之间的通信免于未授权的拦截,但仍不保护服务提供者的主机不受安全攻击。
服务提供者试图通过在他们的主机和用户群之间插入防火墙和代理服务器来保护他们的主机的安全。防火墙一般编程为限制对于特定用户组的入站访问或限制访问一组特定的主机或端口,即服务。在使用代理服务器的系统中,用户终端与代理服务器通信,代理服务器又与主机通信。在这种配置中,用户与代理服务器建立会话而代理服务器与主机建立会话。
如上所述,限制用户访问是不切实际的,而限制服务则仍留下安全漏洞,狡诈的黑客可以由此进入。换句话说,由于在防火墙中必须保留一个小的通道开口以便建立入站的连接,所以这仍可能让未授权的用户访问主机。
另外的安全突破是可能的,因为防火墙一般允许用户终端与主机系统之间的直接会话通信。直接会话通信指用户终端定址数据分组,使得最终目标地址指示为终点主机。这为用户提供实际的主机地址。需要对主机地址进行保密,这样用户就不知道主机的地址是什么,从而在以一种非服务提供者所期望的方式访问主机的尝试中不能试图直接给主机发送未授权的数据。
安全暴露的情况没有通过使用代理服务器而得到大的改善,因为损害代理服务器的黑客可以把该代理服务器使用为访问提供者主机的基础。在典型的代理服务器环境中,网络和任何防火墙都必须“信任”代理服务器,并允许数据通信在该代理服务器和主机之间流动。换句话说,主机必须接受从代理服务器那里传送来的数据,而防火墙必须允许传向代理服务器的业务或从代理服务器那里传向用户和主机的业务自由地流动。
如上所述,在典型的通过代理服务器的用户和主机之间的通信会话中,代理服务器接受用户的入站(从用户向服务器)的会话连接请求,并引发代理服务器和主机之间的一个新的会话请求。虽然这种结构和方法隐藏了来自用户的主机地址,但是仍由代理服务器建立一个到主机的连接。这样,任何插入的防火墙都必须允许代理服务器与主机建立连接。结果,不论是授权的或是未授权的,获得对于代理服务器的访问就允许对提供者主机进行访问。
图1显示一种典型的安全硬件结构的实例。在一种典型的诸如因特网的环境中,用户2需要通过公共网络6访问主机4上可利用的服务。另外,负责管理主机4的个人将使用管理终端8通过专用网络10来访问该主机。公共网络6是一种诸如因特网的全球计算机网络,而专用网络10是一种公司的内部网络。安全设备12被插入到公共网络6和专用网络10之间,这样用户2可以与主机4通信,但不允许与专用网络10或专用网络上的任何主机进行通信。安全设备12可以是一个防火墙或一个代理服务器。安全设备12可以这样配置,使得专用网络10上的用户可以访问公共网络6或主机4。在图1所示的结构中,在公共网络6的用户和专用网络10的用户都可访问的网段上布置主机4的位置称为解除管制区域(DMZ)。
如上所述,图1的结构留下很多潜在的安全问题有待解决,而限制了将主机布置到这些DMZ段中。使用现有技术的结构,用户2与主机4建立一个直接会话或者通过安全设备12与主机4建立一个代理的会话。一个获得对于安全设备12的访问的未授权用户可能可以接着访问专用网络10、管理终端8和专用网络上的任何其它的设备。一个损害安全设备12的未授权用户也可能可以访问他没有权利访问的主机4上的数据,因为主机4一般配置为信任从安全设备12那里接收到的数据是诚实的。因此,这种结构从安全的观点看是有问题的。
另外,因为主机4和其它与之相似的设备必须布置在DMZ段上,希望访问主机4的公司人员必须通过安全设备12来访问,或者必须通过使用一个直接连接的终端或一个在DMZ段上的终端,在物理上直接去主机4的位置来访问该主机。
期望能够这样配置安全设备12,以使得从专用网络10起始的到主机4或到公共网络6的连接不被允许,而同时允许公司人员为了维护和支持可以容易地访问主机4。
当然,系统中的每个组件都增加处理延迟、故障点,需要维护和升级,还增加整个系统总体的复杂性。这种情况对于金融机构是特别不期望的,金融机构希望使用一种简单的、易于维护的硬件和软件配置使用户仅仅访问他们自己的帐户信息。
发明内容
本发明的一个目的是提供一种允许标准的代理服务器安全地路由客户与主机之间的应用会话请求的系统和方法,其中用户不需要安装特别的软件来保证安全,而且其中提供者不必将潜在的安全漏洞引入到该安全设备的配置中。
本发明的另一个目的是能够在专用网络中物理地或逻辑地确定主机的位置,这样就允许公司人员为了维护和支持可以容易地访问该主机,而同时允许公共用户安全地访问主机服务。
为了实现这些目的,本发明提供一种用于在用户终端和主机之间使用数据通信会话传送数据的系统,其中用户终端与第一网络耦合而主机与第二网络耦合。该系统包括一个耦合到第一网络的第一服务器,所述第一服务器从用户终端那里接收一个会话建立请求,并响应该会话建立请求而产生一个连接请求。一个耦合到第一服务器和第二网络的第二服务器接收所述的连接请求,并根据该连接请求与主机建立通信,第二服务器通过在第一服务器向第二服务器发送所述的连接请求之前与第一服务器建立一个通信控制会话来启动通信。
本发明还提供一种用于在用户终端和主机之间使用数据通信会话传送数据的方法,其中用户终端与第一网络耦合而主机与第二网络耦合。所述方法包括下列步骤,在第一服务器和第二服务器之间建立控制连接,第二服务器启动该控制连接,根据用户连接请求建立第一服务器和用户终端之间的第一会话,该第一会话在该用户终端和第一服务器之间传递数据,以及使用该控制连接建立第二服务器与主机之间的第二会话和第一服务器与第二服务器之间的第三会话,第二会话在第二服务器和主机之间传递数据,而第三会话在第一服务器和第二服务器之间传递数据。
本发明的其它的特征和优点在下列参考附图的本发明的说明中将变得显而易见。
附图说明
图1是一种现有技术的安全硬件结构的图;
图2是本发明的安全硬件结构的图;
图3是显示本发明的安全会话建立过程的流程图。
为了示例说明本发明,在附图中显示了一种目前优选的形式,但要知道本发明不局限于所示的精确结构。
具体实施方式
下列详细叙述在提及诸如实际的数据有效载荷和请求/响应数据的数据通信业务的信息流时使用术语“入站”和“出站”。在这里使用时,术语“入站”指的是通信数据从一个诸如用户终端2的公共用户终端发出并在服务提供者的安全系统设备或主机中终接。反过来,“出站”的业务指的是业务从主机或安全系统向公共网络6中的用户终端流动。
同样,在此使用的术语“端口”指的是通过诸如TCP/IP端口的软件建立的逻辑通信的端口。在此使用的术语“套接字”指的是它的一般计算机程序设计的用法,其中一个“套接字”是一个连接中的逻辑端点,所述的连接包括在同一台计算机中运行的多个进程之间的逻辑连接。但是,所述连接在诸如因特网的全球网络的场境中可能是“无连接的”,其中一个服务器支持许多客户请求但不维护实际的连接和不维持比为即时的请求服务所需的时间更长的时间。在此使用的术语“线程”指的是它的一般计算机程序设计的用法,其中一个“线程”是用于在一个计算机程序单个执行的情况下支持多个同时的用户的一个占位符。
参考附图,其中相同的参考数字指的是相同的单元,图2显示本发明的硬件结构。
如图2所示,本发明的安全系统14包括外部防火墙16、公共代理服务器(PPS)18、内部防火墙20和网关代理服务器(GPS)22。在所述的结构中,外部防火墙16与公共网络6和PPS 18连接。PPS 18又连接在外部防火墙16和内部防火墙20之间。PPS 18可以位于一个独立的区段,这样在PPS 18与外部防火墙16之间的出站一侧以及PPS18与内部防火墙20之间的入站一侧就没有其它的设备附接或联网。GPS 22将内部防火墙20与专用网络10连接。这样,从用户终端2到主机4的物理连接如下:用户终端2<==>公共网络6<==>外部防火墙16<==>PPS 18<==>内部防火墙20<==>GPS 22<==>专用网络10<==>主机4
虽然提供了用户终端2与主机4之间的一个物理路径,但应该注意,使用本发明的数据和会话建立的逻辑流不允许用户2直接建立与主机4的服务会话。
外部防火墙16是一种典型的分组或会话的防火墙,它配置为通过允许在用户终端2与PPS 18之间建立这些连接,而允许通过TCP/IP端口入站访问特定的逻辑端口,即主机服务。
内部防火墙20可以是一种能够过滤分组或过滤会话的路由器或其它典型的设备,并配置为使用一种预先确定的诸如TCP/IP端口8080的逻辑端口组,仅允许网关代理服务器22启动到PPS 18的出站服务连接。内部防火墙20配置为拒绝和过滤掉任何入站的连接请求,例如在PPS 18、外部防火墙16、公共网络6或用户终端2中发出的连接请求,它们试图建立一个到GPS 22、专用网络10或主机4的服务连接。如在下面详细叙述的,内部防火墙20配置为允许数据在PPS18和GPS 22之间流动,但是内部防火墙20被这样配置,以使得一旦GPS 22建立一个到PPS 18的连接,则仅允许PPS 18和GPS 22之间的数据通信。
主机4和用户终端2是适合于执行主机和用户终端各自需要的功能的典型设备。例如,用户终端2可以是能够访问诸如因特网的全球计算机网络的个人计算机或手持计算机设备。主机4在大小和功能上的范围可以是个人计算机直至大型计算机,并根据服务提供者的特殊要求确定大小。主机4也可以逻辑地和物理地位于专用网络10中的任何地方。
用于PPS 18和GPS 22的计算机硬件平台是典型的个人计算机服务器或UNIX服务器,它们的大小的确定是使它们能够处理预期的用户和数据业务的负荷。例如,PPS 18和GPS 22可以是运行微软的WINDOWS NT操作系统的服务器。因此,为用作本发明中的代理服务器,PPS 18和GPS 22不需要包含任何特殊的操作系统的增强。但是,PPS 18和GPS 22确实包含使这些设备能用作本发明的一个完整部分的特殊软件。在PPS 18和GPS 22上运行的控制程序可以用任何适合于编程的语言如C++或JAVA来编写。
现在将参考图2和3来说明使用安全系统14建立用户终端2和主机4之间的通信会话。在系统初始化时,GPS 22启动通过内部防火墙20的与PPS 18的通信(步骤24)。换句话说,GPS 22建立从它自身出站到PPS 18的连接,因此只需要一个逻辑通信端口在GPS 22和PPS 18之间是打开的。由GPS 22建立的到PPS 18的连接在下面称为主代理控制连接。
主代理控制连接用于请求会话建立而不是用于数据的实际传递。主代理控制连接也仅负责发送/接收连接请求和连接应答分组,以建立用户终端2和主机4之间的连接。相比之下,外部防火墙16配置为允许许多逻辑端口是打开的以提供用户终端2和PPS 18之间的通信。
作为初始化序列的一部分,一旦已建立主代理控制连接,GPS 22就使用主代理控制连接来传送一个表给PPS 18。这个表包含从有效主机端口到它们相应的服务的映射。
一旦GPS 22与PPS 18建立通信,安全系统14就准备适应来自用户终端2的进来的请求(步骤26)。
当用户终端2寻求建立与主机4的会话时,用户终端2就一般通过超文本传输协议(HTTP)发送一个连接请求给PPS 18上的一个逻辑端口。PPS 18使用一个新套接字S1从用户终端2那里接受该连接请求(步骤28)。与该新连接相应的数据被存储在PPS 18上的存储器向量阵列中。存储在存储器向量阵列中数据包括用户终端2的如TCP/IP地址的地址、PPS 18上的进来的端口标识符以及用户终端2寻求与之通信的服务。PPS 18接受所述的连接请求不能使任何实际的数据内容即帐户信息、HTML屏幕数据等流向或流自用户终端2。PPS18接受所述的连接请求仅仅建立用户终端2和PPS 18之间的第一会话连接。
接下来,使用在步骤24中由GPS 22在预先确定的端口上建立的到PPS 18的主代理控制连接,作为GPS 22的一个客户的PPS 18发送一个连接通知请求给GPS 22(步骤30)。所述连接通知请求包含从端口到服务的映射得出的端口号信息,作为该连接请求的目的地。PPS 18使用的端口号信息是基于由GPS 22在步骤24中发送给PPS18的映射端口号的列表。因此,所述的连接通知请求将用户终端2希望与之通信的主机告诉给GPS 22。
GPS 22在它的存储器中保存一个列表,将在步骤24中发送给PPS18的端口列表映射为它们相应的对于主机4的实际主机地址。在TCP/IP的情况下,GPS 22映射包含端口和主机4的相应TCP/IP地址。在接收到来自PPS 18的连接通知请求时,GPS 22就验证PPS 18所请求的端口连接在它的端口映射中具有一个到最终目的主机地址的项(步骤32)。
如果GPS 22没有一个到最终目的地的映射项,那么它就拒绝该通知请求,导致PPS 18终止它与用户终端2的会话(步骤34)。
如果GPS 22具有一个映射项,那么GPS 22就使用一个GPS 22上的新套接字S3启动一个到适当目的主机4的连接(步骤36)。参见图2,GPS 22使用套接字S3通过专用网络10建立一个到主机4的连接。
在会话建立过程中的这一点上,建立了三个独立的连接,用户2通过公共网络6和外部防火墙16到PPS 18的连接,GPS 22通过专用网络10到主机4的连接,以及GPS22通过内部防火墙20到PPS 18的连接(建立的出站连接)。用于用户终端2和主机4之间的用户数据业务的完全的逻辑连接还没有。这种情况是因为GPS 22和PPS 18之间的数据通信路径还没有建立,只是建立了主代理控制连接。
在使用套接字3启动到主机4的连接之后,GPS 22使用新套接字S2通过内部防火墙20建立另一个到PPS 18的出站连接(步骤38)。GPS 22和PPS 18之间的新连接是一个与主代理控制连接不同的连接,所述主代理控制连接保持可用于来自用户终端2的其它连接请求的通信。GPS 22使用这个新连接并发送一个连接应答给PPS 18,该连接应答包含到目的主机4的S3连接的端点(步骤40)。在步骤40中发送的连接应答是一种本领域的一般技术人员所了解的标准的代理连接应答。
一旦PPS 18接受这种客户请求,GPS 22就派生出一个新的处理线程,它从套接字S2那里读取通信数据并传递给套接字S3和反过来读取并传递(步骤42)。换句话说,GPS 22的套接字S3用于与所期望的主机4通信,而GPS 22的套接字S2用于通过防火墙20向PPS 18传送。GPS 22中的处理线程为套接字S2和S3之间的数据传输提供便利。一旦GPS 22在步骤40中把它的连接应答发送给PPS 18,PPS18就使用套接字S4接受这个由GPS 22上的套接字S2发送的连接应答(步骤44)。重要的是要注意步骤44不是必须跟随步骤42的,因为这两个步骤是互斥的,即在GPS 22上的S2和S3之间建立的通信线程的产生不依赖于PPS 18接受所述的连接应答。
接收到来自GPS 22的连接应答的时候,PPS 18搜索存储在它的存储器中的向量阵列,用以将从套接字S2那里接收的逻辑端口信息映射为启动该服务会话请求的用户终端2的地址。
PPS 18然后启动一个新线程,在套接字S4和套接字S1之间建立一个数据路径(步骤46)。这个PPS 18上的新的处理线程从套接字S1那里读取数据并将它传递给套接字S4和反过来读取并传递。
在这一点上,用户终端2具有一个通过下列线程和套接字进行套接字通信的与所要求的主机4的逻辑客户主机连接:
用户终端2到PPS 18上的套接字S1;
线程S1-S4;
PPS 18上的套接字S1到GPS 22上的套接字S2;
线程S2-S3;
以及GPS 22上的S3到目的主机4。
这样,从用户终端2到目的主机4的连接产生从GPS 22到主机4的入站连接并产生从GPS 22到PPS 18的出站连接。GPS 22与目的主机4之间和GPS 22与PPS 18之间的会话建立序列以及GPS 22和PPS18中的相应处理器线程完成的时候,来自用户终端2的初始请求在PPS 18中的套接字S1上保留。一旦在发起的客户与应用服务器之间建立起逻辑连接路径,用户终端2和主机4之间的发送和接收就通过PPS 18和GPS 22发生。
支持来自多个用户终端2的连接请求,这样一个用户不必在开始他自己的连接请求之前等待先为另一个用户完成此序列。这种情况是因为步骤28中的连接请求由PPS 18接收并存储,因此允许PPS 18等待另一个连接请求。还因为如HTTP的典型连接协议是不固定的,所以用户终端2和PPS 18之间的连接仅持续用于获取和存储连接请求并将接受连接请求的响应返回给用户所花费的时间(步骤28)。GPS 22用作一种双侧的客户,因为它发出连接请求给PPS 18(步骤24和38)和目的主机4(步骤36)。PPS 18用作一种双侧的服务器,因为它等待并接受来自用户终端2(步骤28)和GPS 22(步骤24和38)的连接请求。回想在步骤30中,PPS 18通过一个已经建立的主代理控制连接发送一个连接请求给GPS 22,其中所述控制连接最初是从GPS 22向PPS 18出站地建立的。一旦建立起来,用户终端2和主机4之间的通信会话就继续,直到操作的用户完成通信。当然,用户终端2和主机4之间的通信的应用层可以使用如SSL的典型软件进行数据有效载荷的加密和认证。
这样,本发明提供了用于建立安全通信的安全系统14和它的附属程序。特别是,保护服务提供者的主机4免受来自公共网络6中的用户的攻击,因为防火墙20不允许从它的公共网络一侧发出的初始服务连接。初始的主代理控制连接由GPS 22从内部防火墙20的专用网络一侧启动,向外连接到公共代理服务器18。这允许内部防火墙20配置为拒绝所有入站的连接启动请求。这样,即使一个黑客能够损害外部防火墙16或甚至PPS 18,黑客也不能从PPS 18跳到内部防火墙20、GPS 22或任何附加到专用网络10的设备,因为内部防火墙20配置为拒绝那些请求。另外,即使一旦一个传递的连接请求被一台主机4接受,步骤38也还要求建立另一个从GPS 22到PPS 18的出站连接来创建实际数据有效载荷的连接,向用户终端2和从用户终端2向主机4传递数据最终将要使用所述的实际数据有效载荷的连接。
本发明的安全系统14和会话建立程序还允许服务提供者确定位于专用网络10中的任何地方的主机4的位置,这样主机4就不必在DMZ网段上安装或得到支持。本发明提供这种便利是因为用户终端2和主机4之间的实际的数据流被分割成更小的连接,即通过前面所述的套接字和线程的通信连接。这允许服务提供者有力而高效地管理主机4,并降低与提供服务有关的成本。
本发明可能实施为其它的具体形式而不偏离它的精神或实质特征,因此,说明本发明的范围应该参考所附的权利要求而不是上述说明书。
Claims (24)
1、一种用于在用户终端和主机之间传送数据的系统,所述用户终端与第一网络耦合而所述主机与第二网络耦合,所述系统包括:
一个与所述第一网络耦合的第一服务器,所述第一服务器从所述用户终端那里接收一个数据通信会话建立请求,并请求在所述用户终端和所述主机之间的数据通信会话;
一个与所述的第二网络耦合的第二服务器;
一个在所述第一和第二服务器之间的主代理控制连接,所述主代理控制连接是通过所述第二服务器发送一个通信控制会话建立请求给所述第一服务器而建立的,其中所述第一服务器不能启动所述第一和第二服务器之间的通信;以及
一个在所述第一和第二服务器之间建立的数据通信连接,该数据通信连接是仅当所述主代理控制连接已经在所述第一和第二服务器之间建立时、响应于所述数据通信会话建立请求而建立的,其中所述数据通信连接不同于所述主代理控制连接。
2、根据权利要求1的用于在用户终端和主机之间传送数据的系统,进一步包括一个耦合在所述的第一服务器和第二服务器之间的第一防火墙。
3、根据权利要求1的用于在用户终端和主机之间传送数据的系统,进一步包括一个耦合在所述的第一网络和第一服务器之间的第二防火墙。
4、根据权利要求2的用于在用户终端和主机之间传送数据的系统,其中所述的第一防火墙拒绝除了那些从所述的第二服务器那里发起并指定给第一服务器的通信控制会话建立请求之外的所有通信控制会话建立请求。
5、根据权利要求1的用于在用户终端和主机之间传送数据的系统,其中所述的数据通信会话建立请求使用所述的主代理控制连接从所述的第一服务器传送给所述的第二服务器。
6、根据权利要求1的用于在用户终端和主机之间传送数据的系统,其中所述的第一服务器支持多个数据通信连接。
7、根据权利要求1的用于在用户终端和主机之间传送数据的系统,其中所述的第二服务器支持多个数据通信连接。
8、根据权利要求1的用于在用户终端和主机之间传送数据的系统,其中所述的第一服务器从所述的第二服务器那里接收一个端口到服务的映射。
9、根据权利要求8的用于在用户终端和主机之间传送数据的系统,其中所述的第一服务器在所述的主代理控制连接上接收所述的端口到服务的映射。
10、根据权利要求1的用于在用户终端和主机之间传送数据的系统,其中所述的第二服务器包括一个端口到主机地址的映射。
11、一种用于在用户终端和主机之间传送数据的方法,所述用户终端与第一网络耦合而所述主机与第二网络耦合,所述方法包括:
在第一服务器和第二服务器之间建立一个主代理控制连接,所述第二服务器启动该主代理控制连接,其中所述第一服务器不能启动在所述第一和第二服务器之间的通信;
根据用户连接请求而在所述的第一服务器和用户终端之间建立一个第一数据会话,所述第一数据会话在所述的用户终端和第一服务器之间传递数据;
建立一个在所述的第二服务器与主机之间的第二数据会话和一个在所述的第一服务器与第二服务器之间的第三数据会话,所述的第二数据会话在所述的第二服务器和主机之间传递数据,而所述的第三数据会话在所述的第一服务器和第二服务器之间传递数据,其中所述第三数据会话未在所述主代理控制连接上发生。
12、根据权利要求11的用于在用户终端和主机之间传送数据的方法,进一步包括:
在所述的第一服务器中调用一个第一计算线程,所述的第一计算线程在所述的第一数据会话和第三数据会话之间传递数据;以及
在所述的第二服务器中调用一个第二计算线程,所述的第二计算线程在所述的第二数据会话和第三数据会话之间传递数据。
13、根据权利要求12的用于在用户终端和主机之间传送数据的方法,其中数据在所述的第一数据会话、第二数据会话和第三数据会话的每个中传递,所述的第一计算线程和第二计算线程是双向的。
14、根据权利要求11的用于在用户终端和主机之间传送数据的方法,进一步包括从所述的第一服务器向第二服务器发送一个连接通知请求,其中所述的第二数据会话和第三数据会话根据所述的连接通知请求而建立。
15、根据权利要求11的用于在用户终端和主机之间传送数据的方法,其中一个防火墙阻断所述的主代理控制连接的建立,除非对所述的控制连接的请求是从所述的第二服务器那里发出并指定给所述的第一服务器的。
16、根据权利要求14的用于在用户终端和主机之间传送数据的方法,进一步包括使用所述的主代理控制连接从所述的第一服务器向第二服务器发送一个端口到会话的映射。
17、根据权利要求16的用于在用户终端和主机之间传送数据的方法,其中所述的连接通知请求包括一个从所述的端口到会话的映射得出的端口。
18、根据权利要求17的用于在用户终端和主机之间传送数据的方法,其中如果所述的端口并不根据所述的第二服务器中的主机映射进一步映射到主机,那么所述的连接通知请求就被所述的第二服务器拒绝。
19、根据权利要求11的用于在用户终端和主机之间传送数据的方法,其中所述的第一服务器支持在一个或多个用户终端与一个或多个主机之间的多个数据通信会话。
20、根据权利要求11的用于在用户终端和主机之间传送数据的方法,其中所述的第二服务器支持在一个或多个用户终端与一个或多个主机之间的多个数据通信会话。
21、一种用于在用户终端和主机之间传送数据的方法,所述用户终端与第一网络耦合而所述主机与第二网络耦合,所述方法包括:
通过在第一服务器和第二服务器之间建立一个通信控制会话来启动通信,所述的第二服务器发送一个通信控制会话启动请求给所述的第一服务器,其中所述第一服务器不能启动所述第一和第二服务器之间的通信;
在所述的第一服务器中接收一个来自所述的用户终端的数据会话建立请求,并响应所述的数据会话建立请求而产生一个数据连接请求;以及
在所述的第二服务器中接收所述的数据连接请求,并根据所述的数据连接请求而建立与所述主机的数据通信,其中所述数据通信会话与所述通信控制会话分离。
22、根据权利要求21的用于在用户终端和主机之间传送数据的方法,其中所述的数据连接请求使用所述的通信控制会话从所述的第一服务器向第二服务器传送。
23、根据权利要求21的用于在用户终端和主机之间传送数据的方法,进一步包括从所述的第二服务器向第一服务器发送一个端口到服务的映射。
24、根据权利要求23的用于在用户终端和主机之间传送数据的方法,其中所述的第二服务器在所述的通信控制会话上发送所述的端口到服务的映射。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/314,482 US6718388B1 (en) | 1999-05-18 | 1999-05-18 | Secured session sequencing proxy system and method therefor |
US09/314482 | 1999-05-18 | ||
US09/314,482 | 1999-05-18 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1364374A CN1364374A (zh) | 2002-08-14 |
CN1199418C true CN1199418C (zh) | 2005-04-27 |
Family
ID=23220138
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB008105944A Expired - Lifetime CN1199418C (zh) | 1999-05-18 | 2000-05-17 | 安全会话定序的代理系统及其方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US6718388B1 (zh) |
EP (1) | EP1186147A2 (zh) |
JP (1) | JP2003500711A (zh) |
CN (1) | CN1199418C (zh) |
AU (1) | AU770584B2 (zh) |
CA (1) | CA2371358A1 (zh) |
WO (1) | WO2000070839A2 (zh) |
Families Citing this family (57)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7058817B1 (en) | 1999-07-02 | 2006-06-06 | The Chase Manhattan Bank | System and method for single sign on process for websites with multiple applications and services |
DE19952527C2 (de) * | 1999-10-30 | 2002-01-17 | Ibrixx Ag Fuer Etransaction Ma | Verfahren und Transaktionsinterface zum gesicherten Datenaustausch zwischen unterscheidbaren Netzen |
US7185361B1 (en) * | 2000-01-31 | 2007-02-27 | Secure Computing Corporation | System, method and computer program product for authenticating users using a lightweight directory access protocol (LDAP) directory server |
GB2366163A (en) * | 2000-08-14 | 2002-02-27 | Global Knowledge Network Ltd | Inter-network connection through intermediary server |
US20020078371A1 (en) * | 2000-08-17 | 2002-06-20 | Sun Microsystems, Inc. | User Access system using proxies for accessing a network |
DE10040463C2 (de) * | 2000-08-18 | 2003-10-23 | Tenovis Gmbh & Co Kg | Verfahren zum Aufbauen einer Datenverbindung zwischen einer ersten und einer zweiten Recheneinheit und Vorrichtung zum Austauschen von Daten |
US7150045B2 (en) * | 2000-12-14 | 2006-12-12 | Widevine Technologies, Inc. | Method and apparatus for protection of electronic media |
US20020104017A1 (en) * | 2001-01-30 | 2002-08-01 | Rares Stefan | Firewall system for protecting network elements connected to a public network |
US7320036B1 (en) * | 2001-04-13 | 2008-01-15 | Redback Networks Inc. | Method and apparatus for multiple communications sessions |
US8849716B1 (en) | 2001-04-20 | 2014-09-30 | Jpmorgan Chase Bank, N.A. | System and method for preventing identity theft or misuse by restricting access |
EP1444568A4 (en) | 2001-11-01 | 2005-11-09 | Bank One Delaware Nat Ass | SYSTEM AND METHOD FOR ESTABLISHING OR AMENDING AN ACCOUNT WITH USER SELECTABLE TERMS |
US7987501B2 (en) | 2001-12-04 | 2011-07-26 | Jpmorgan Chase Bank, N.A. | System and method for single session sign-on |
US7043632B2 (en) * | 2001-12-12 | 2006-05-09 | Nortel Networks Limited | End-to-end security in data networks |
US7376967B1 (en) | 2002-01-14 | 2008-05-20 | F5 Networks, Inc. | Method and system for performing asynchronous cryptographic operations |
FI118170B (fi) * | 2002-01-22 | 2007-07-31 | Netseal Mobility Technologies | Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi |
JP3698698B2 (ja) | 2002-02-26 | 2005-09-21 | 富士通株式会社 | Dmzを介したイントラネットおよび外部ネットワーク上の呼の確立 |
US7899753B1 (en) | 2002-03-25 | 2011-03-01 | Jpmorgan Chase Bank, N.A | Systems and methods for time variable financial authentication |
US8103755B2 (en) * | 2002-07-02 | 2012-01-24 | Arbor Networks, Inc. | Apparatus and method for managing a provider network |
US7152111B2 (en) * | 2002-08-15 | 2006-12-19 | Digi International Inc. | Method and apparatus for a client connection manager |
US7430755B1 (en) | 2002-09-03 | 2008-09-30 | Fs Networks, Inc. | Method and system for providing persistence in a secure network access |
US7313618B2 (en) * | 2002-10-31 | 2007-12-25 | Sap Aktiengesellschaft | Network architecture using firewalls |
DE10332470B4 (de) * | 2003-01-09 | 2020-01-16 | Volkswagen Ag | Verfahren und Vorrichtung zur Kommunikation zwischen Anwendungssystemen in unterschiedlichen Unternehmensnetzwerken |
US7676675B2 (en) * | 2003-06-06 | 2010-03-09 | Microsoft Corporation | Architecture for connecting a remote client to a local client desktop |
US9614772B1 (en) | 2003-10-20 | 2017-04-04 | F5 Networks, Inc. | System and method for directing network traffic in tunneling applications |
US20080303903A1 (en) * | 2003-12-02 | 2008-12-11 | Connexed Technologies Inc. | Networked video surveillance system |
US20060049234A1 (en) * | 2004-05-21 | 2006-03-09 | Flak Richard A | Friction stirring and its application to drill bits, oil field and mining tools, and components in other industrial applications |
US8090837B2 (en) | 2004-05-27 | 2012-01-03 | Hewlett-Packard Development Company, L.P. | Communication in multiprocessor using proxy sockets |
US8290863B2 (en) | 2004-07-23 | 2012-10-16 | Jpmorgan Chase Bank, N.A. | Method and system for expediting payment delivery |
US8290862B2 (en) | 2004-07-23 | 2012-10-16 | Jpmorgan Chase Bank, N.A. | Method and system for expediting payment delivery |
US8024483B1 (en) | 2004-10-01 | 2011-09-20 | F5 Networks, Inc. | Selective compression for network connections |
CN100417066C (zh) * | 2004-12-29 | 2008-09-03 | 国际商业机器公司 | 用于处理基于浏览器的应用中的安全问题的多域访问代理 |
CN100389584C (zh) * | 2004-12-31 | 2008-05-21 | 北京邮电大学 | 一种用于应用服务器的安全能力的协商方法 |
US8418233B1 (en) | 2005-07-29 | 2013-04-09 | F5 Networks, Inc. | Rule based extensible authentication |
US8533308B1 (en) | 2005-08-12 | 2013-09-10 | F5 Networks, Inc. | Network traffic management through protocol-configurable transaction processing |
US8621078B1 (en) | 2005-08-15 | 2013-12-31 | F5 Networks, Inc. | Certificate selection for virtual host servers |
WO2007038245A2 (en) | 2005-09-23 | 2007-04-05 | Widevine Technologies, Inc. | Method for evolving detectors to detect malign behavior in an artificial immune system |
US8065733B2 (en) * | 2005-09-23 | 2011-11-22 | Google, Inc. | Method for evolving detectors to detect malign behavior in an artificial immune system |
US8565088B1 (en) | 2006-02-01 | 2013-10-22 | F5 Networks, Inc. | Selectively enabling packet concatenation based on a transaction boundary |
US7873065B1 (en) | 2006-02-01 | 2011-01-18 | F5 Networks, Inc. | Selectively enabling network packet concatenation based on metrics |
US8375421B1 (en) | 2006-03-02 | 2013-02-12 | F5 Networks, Inc. | Enabling a virtual meeting room through a firewall on a network |
US8572219B1 (en) | 2006-03-02 | 2013-10-29 | F5 Networks, Inc. | Selective tunneling based on a client configuration and request |
US8782393B1 (en) | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
US7734545B1 (en) | 2006-06-14 | 2010-06-08 | Jpmorgan Chase Bank, N.A. | Method and system for processing recurring payments |
US9106606B1 (en) | 2007-02-05 | 2015-08-11 | F5 Networks, Inc. | Method, intermediate device and computer program code for maintaining persistency |
JP2009017471A (ja) * | 2007-07-09 | 2009-01-22 | Sharp Corp | 情報通信方法 |
US7766244B1 (en) | 2007-12-31 | 2010-08-03 | Jpmorgan Chase Bank, N.A. | System and method for processing transactions using a multi-account transactions device |
US9832069B1 (en) | 2008-05-30 | 2017-11-28 | F5 Networks, Inc. | Persistence based on server response in an IP multimedia subsystem (IMS) |
US9130846B1 (en) | 2008-08-27 | 2015-09-08 | F5 Networks, Inc. | Exposed control components for customizable load balancing and persistence |
US8386381B1 (en) | 2009-12-16 | 2013-02-26 | Jpmorgan Chase Bank, N.A. | Method and system for detecting, monitoring and addressing data compromises |
US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
CN103916311B (zh) * | 2014-04-21 | 2016-01-20 | 腾讯科技(深圳)有限公司 | 一种信息传输控制方法,装置及系统 |
US9288272B2 (en) * | 2014-07-10 | 2016-03-15 | Real Innovations International Llc | System and method for secure real-time cloud services |
CN105991957A (zh) * | 2015-03-04 | 2016-10-05 | 中国移动通信集团公司 | 一种双向视频的传输方法及装置 |
US10491567B2 (en) * | 2017-03-17 | 2019-11-26 | Verizon Patent And Licensing Inc. | Dynamic firewall configuration based on proxy container deployment |
JP6897443B2 (ja) * | 2017-09-13 | 2021-06-30 | ブラザー工業株式会社 | 制御システム、副制御装置及び制御方法 |
US11405392B2 (en) * | 2018-09-11 | 2022-08-02 | Aveva Software, Llc | Server and system for secure configuration push for DMZ proxy clients |
US20220166881A1 (en) * | 2020-11-25 | 2022-05-26 | Jpmorgan Chase Bank, N.A. | Systems and methods for call routing using generic call control platforms |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5191650A (en) * | 1989-08-16 | 1993-03-02 | International Business Machines Corporation | Virtual chains for session initiation in a distributed computer network |
EP0529864B1 (en) * | 1991-08-22 | 2001-10-31 | Sun Microsystems, Inc. | Network video server apparatus and method |
JP3262689B2 (ja) * | 1995-05-19 | 2002-03-04 | 富士通株式会社 | 遠隔操作システム |
US5754830A (en) * | 1996-04-01 | 1998-05-19 | Openconnect Systems, Incorporated | Server and web browser terminal emulator for persistent connection to a legacy host system and method of operation |
US5944823A (en) | 1996-10-21 | 1999-08-31 | International Business Machines Corporations | Outside access to computer resources through a firewall |
US6104716A (en) * | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
US6170012B1 (en) * | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
US9197599B1 (en) | 1997-09-26 | 2015-11-24 | Verizon Patent And Licensing Inc. | Integrated business system for web based telecommunications management |
US6252878B1 (en) * | 1997-10-30 | 2001-06-26 | Cisco Technology, Inc. | Switched architecture access server |
US6199113B1 (en) * | 1998-04-15 | 2001-03-06 | Sun Microsystems, Inc. | Apparatus and method for providing trusted network security |
US6381638B1 (en) * | 1999-02-24 | 2002-04-30 | 3Com Corporation | System and method for options based address reuse |
-
1999
- 1999-05-18 US US09/314,482 patent/US6718388B1/en not_active Expired - Lifetime
-
2000
- 2000-05-17 JP JP2000619174A patent/JP2003500711A/ja active Pending
- 2000-05-17 CA CA002371358A patent/CA2371358A1/en not_active Abandoned
- 2000-05-17 WO PCT/US2000/013585 patent/WO2000070839A2/en not_active Application Discontinuation
- 2000-05-17 EP EP00937586A patent/EP1186147A2/en not_active Withdrawn
- 2000-05-17 AU AU52734/00A patent/AU770584B2/en not_active Expired
- 2000-05-17 CN CNB008105944A patent/CN1199418C/zh not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
US6718388B1 (en) | 2004-04-06 |
CA2371358A1 (en) | 2000-11-23 |
AU770584B2 (en) | 2004-02-26 |
JP2003500711A (ja) | 2003-01-07 |
AU5273400A (en) | 2000-12-05 |
WO2000070839A2 (en) | 2000-11-23 |
WO2000070839A3 (en) | 2001-02-08 |
EP1186147A2 (en) | 2002-03-13 |
CN1364374A (zh) | 2002-08-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1199418C (zh) | 安全会话定序的代理系统及其方法 | |
US5550984A (en) | Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information | |
JP3262689B2 (ja) | 遠隔操作システム | |
JP4690480B2 (ja) | ファイアウォールサービス提供方法 | |
US5623601A (en) | Apparatus and method for providing a secure gateway for communication and data exchanges between networks | |
US7380273B2 (en) | Method for authenticating a user access request | |
EP1370040B1 (en) | A method, a network access server, an authentication-authorization-and-accounting server, and a computer software product for proxying user authentication-authorization-and-accounting messages via a network access server | |
JP5864598B2 (ja) | ユーザにサービスアクセスを提供する方法およびシステム | |
CN1538706A (zh) | 一种用于web认证的http重定向方法 | |
CA2136150C (en) | Apparatus and method for providing a secure gateway for communication and data exchanges between networks | |
JP2002084326A (ja) | 被サービス装置、センタ装置、及びサービス装置 | |
CN110581843B (zh) | 一种拟态Web网关多应用流量定向分配方法 | |
KR100359559B1 (ko) | 전용 사설망 서비스 방법 | |
MXPA96002964A (en) | Security system for interconnected computer networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C06 | Publication | ||
PB01 | Publication | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CX01 | Expiry of patent term |
Granted publication date: 20050427 |
|
CX01 | Expiry of patent term |