ES2231895T3 - Acceso desde el exterior a los recursos de ordenador a traves de un cortafuegos. - Google Patents
Acceso desde el exterior a los recursos de ordenador a traves de un cortafuegos.Info
- Publication number
- ES2231895T3 ES2231895T3 ES97943996T ES97943996T ES2231895T3 ES 2231895 T3 ES2231895 T3 ES 2231895T3 ES 97943996 T ES97943996 T ES 97943996T ES 97943996 T ES97943996 T ES 97943996T ES 2231895 T3 ES2231895 T3 ES 2231895T3
- Authority
- ES
- Spain
- Prior art keywords
- firewall
- external
- internal
- objects
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000005641 tunneling Effects 0.000 claims description 38
- 238000000034 method Methods 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 12
- 238000012795 verification Methods 0.000 claims 2
- 230000004888 barrier function Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000872 buffer Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001846 repelling effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
- Grinding-Machine Dressing And Accessory Apparatuses (AREA)
- Moving Of Heads (AREA)
- Storage Device Security (AREA)
- Small-Scale Networks (AREA)
Abstract
UN CORTAFUEGOS AISLA LOS RECURSOS DEL ORDENADOR Y DE LA RED DENTRO DEL CORTAFUEGOS DE LAS REDES, ORDENADORES Y APLICACIONES DE ORDENADOR QUE ESTAN FUERA DEL CORTAFUEGOS. NORMALMENTE, UN CORTAFUEGOS PERMITE A UN USUARIO O A UN OBJETO INTERNO ESTABLECER UNA CONEXION CON UN OBJETO EXTERNO O UNA RED EXTERNA, PERO NO PERMITE QUE LAS CONEXIONES SE ESTABLEZCAN EN EL SENTIDO CONTRARIO; ES DECIR, DESDE EL EXTERIOR HACIA EL INTERIOR. LA PRESENTE INVENCION PROPORCIONA UN MECANISMO DE "TUNEL", QUE FUNCIONA EN AMBOS LADOS DEL CORTAFUEGOS, PARA ESTABLECER CONEXIONES DESDE EL EXTERIOR HACIA EL INTERIOR CUANDO SON SOLICITADAS POR CIERTOS INDIVIDUOS, OBJETOS O APLICACIONES DE "CONFIANZA" QUE ESTAN FUERA DEL CORTAFUEGOS. EL MECANISMO INCLUYE APLICACIONES ESPECIALES DE TUNEL, QUE SE EJECUTAN EN SERVIDORES DE INTERFAZ DENTRO Y FUERA DEL CORTAFUEGOS, Y UNA TABLA ESPECIAL DE "CONECTORES DE CONFIANZA" CREADA Y MANTENIDA POR LA APLICACION DE TUNEL INTERNA.
Description
Acceso desde el exterior a recursos de ordenador
a través de un cortafuegos.
Esta invención se refiere a provisión de acceso a
recursos de un sistema o red de ordenadores situado dentro de un
cortafuegos de seguridad, en respuesta a demandas por parte de
objetos situados fuera del cortafuegos.
Un cortafuegos es un sistema de seguridad
(equipos y/o lógica) que aísla recursos, de un sistema o red de
ordenadores, de objetos de fuera del sistema o red. Los recursos
aislados se consideran que están dentro del cortafuegos, y los
equipos externos se consideran fuera del cortafuegos. Típicamente,
un cortafuegos sirve como recinto de seguridad en torno a una red
local (LAN) privada de ordenadores y periféricos asociados.
Generalmente, un cortafuegos permite a objetos
internos solicitar y recibir conexiones con objetos externos (por
ejemplo, que aplicaciones internas accedan a nodos de internet
externos, etc.), pero impide que objetos externos generen
conexiones similares.
Hay casos en que se desea permitir a objetos de
fuera de un cortafuegos tener acceso a recursos internos, sujetos a
restricciones, para no desvirtuar completamente el objetivo de
seguridad del cortafuegos. Por ejemplo, podría desearse permitir
que empleados de una compañía que posean recursos dentro del
cortafuegos, "teletrabajen" a través de redes públicas (tales
como la red telefónica o puntos de acceso a esa red e Internet,
etc.) desde domicilios alejados del centro o de los centros de
actividad de su empresa (o desde ubicaciones remotas, cuando estén
en viajes de negocios o vacaciones). Con ese fin, entonces, sería
deseable permitir a tales individuos "fiables" poder iniciar el
acceso, fuera de un cortafuegos, a recursos situados dentro del
cortafuegos (por ejemplo, las bases de datos privadas de la empresa,
etc.)
Por lo que sabemos, tal acceso, en respuesta a
una iniciación o demanda externa, se ha proporcionado en el pasado
previendo servidores y almacenes de bases de datos duplicados,
tanto dentro como fuera del cortafuegos, o mediante otras
disposiciones que suponen un gasto considerable para mantener el
cortafuegos en sí. Considérense, por ejemplo, los costes de tal
duplicación externa, u otro proceso, con relación a bases de datos,
masiva y frecuentemente actualizadas, almacenadas dentro del
cortafuegos. El documento de Cheswick y Bellovin "Cortafuegos y
seguridad en Internet, Repeliendo al pirata informático Willy",
de abril de 1994, Addison-Wesley Publishing Company,
páginas 86 a 106, describe distintos tipos de cortafuegos. La
presente invención trata de proporcionar el acceso externo deseado
sin duplicación externa innecesaria de objetos o recursos de dentro
del cortafuegos.
De acuerdo con distintos aspectos, la invención
ofrece un aparato, un método y un programa de tunelización, como se
reivindica en las reivindicaciones independientes, con
particularidades ventajosas preferidas reivindicadas en las
reivindicaciones dependientes.
De acuerdo con la invención, se proporcionan
medios, dentro y fuera de un cortafuegos, para generar,
cooperativamente, efectos de tunelización, en respuesta a ciertos
tipos de demandas iniciadas por objetos de fuera del cortafuegos,
que tengan como consecuencia la creación de conexiones entre tales
objetos externos y recursos de dentro del cortafuegos. Las
conexiones así generadas tienen la propiedad única de que se
generan, de modo efectivo, de "dentro afuera" como si fueran
demandas iniciadas por objetos de dentro del cortafuegos a destinos
de fuera del cortafuegos.
Los "tipos de demandas" permitidos por tales
medios de "tunelización" son demandas dirigidas a lo que
actualmente se denomina "conexiones fiables". Las conexiones
fiables son entradas de una tabla de las mismas que se genera y
mantiene, exclusivamente, dentro del cortafuegos. Cada entrada de
esa tabla incluye la dirección de una puerta "fiable", un
protocolo (por ejemplo, un protocolo de telecomunicaciones tal como
TCP/IP, NNTP, etc.) pre-asociado con esa dirección,
y la identidad de un objeto servidor situado dentro del cortafuegos
(por ejemplo, un ordenador servidor o una aplicación servidora). De
ese modo, se entiende que para que un individuo y/o un objeto de
fuera del cortafuegos inicie una demanda de este tipo, a ese
individuo debe confiársele la información que represente una entrada
de conexión fiable que sea válida en ese momento.
La tabla de conexiones fiables se crea y mantiene
mediante una "aplicación de tunelización" que se ejecuta en un
servidor de interfaz interno (controlado por individuos autorizados
apropiadamente, con acceso directo a ese servidor) que sirva de
interconexión entre esta aplicación de tunelización y todos los
otros objetos/recursos "accesibles" de dentro del cortafuegos
(incluyendo otras aplicaciones que se ejecuten en el servidor de
interfaz interno). El servidor de interfaz interno establece,
también, una "conexión de control" con un servidor de interfaz
externo, que sirva de interconexión entre el cortafuegos y todos los
objetos de fuera del cortafuegos. La conexión de control es
accesible solamente para la aplicación de tunelización que se
ejecute en el servidor de interfaz interno y una aplicación de
tunelización correspondiente que se ejecute en el servidor de
interfaz externo; es decir, no es directamente accesible por ninguna
otra aplicación que se ejecute en estos servidores de interfaz, y
es totalmente inaccesible para objetos internos y externos que no
residan en estos servidores.
Una copia de la tabla de conexiones fiables es
transmitida desde el servidor de interfaz interno al servidor de
interfaz externo; por ejemplo, cuando la tabla se genere y/o
altere, o en momentos especiales del día, etc.
Cuando un objeto externo, que no esté conectado
en ese momento a través del cortafuegos, inicie una demanda que
llegue al servidor de interfaz externo, la aplicación de
tunelización de ese servidor determina si la demanda está dirigida
a una entrada de conexión fiable que sea válida en ese momento. Si
no está dirigida así, la demanda es ignorada. Si la demanda está
dirigida a una conexión fiable, la demanda es hecha pasar, a través
de la conexión de control, a la aplicación de tunelización del
servidor de interfaz interno. Simultáneamente, se genera un
proceso, o tarea, asociado con la demanda, en el servidor de
interfaz externo, y se establece una conexión externa entre ese
proceso o tarea y el objeto demandante.
A la recepción de la demanda, puede ser necesario
que la aplicación de tunelización interna, también, tenga que
verificar que la demanda sea para una conexión fiable válida en ese
momento y rechazar la demanda si no lo es. Si la demanda es para
una conexión fiable valida en ese momento, la aplicación de
tunelización interna genera (o "reproduce") un proceso interno
asociado con la demanda. Entonces, la aplicación de tunelización
interna: (a) genera conexiones entre el recurso interno asociado
con la puerta y la identidad del servidor de la entrada de conexión
fiable "demandada" y el servidor de interfaz interno; y (b)
comunicando, a través de la conexión de control, con la aplicación
de tunelización externa y el ordenador que controle el propio
cortafuegos, genera una conexión, a través del cortafuegos, entre
las tareas generadas/reproducidas en los servidores de interfaz
interno y externo. Las conexiones generadas/reproducidas por las
aplicaciones de tunelización interna y externa son independientes
de la conexión de control, y son útiles para transportar datos
(usualmente en formato de paquetes, definido por el protocolo de
conexión fiable) bidireccionalmente, entre el objeto externo que
inició la demanda y el objeto interno objetivo de la demanda.
Estas y otras características, ventajas,
objetivos y beneficios de la presente invención se entenderán de
modo más completo al considerar la descripción detallada y las
reivindicaciones que siguen.
La figura 1 es un esquema de un entorno de
cortafuegos típico en el que puede aplicarse la presente
invención.
La figura 2 es un diagrama de flujo que muestra
la creación y manipulación de la tabla de conexiones fiables
mencionada anteriormente.
La figura 3 es un diagrama de flujo que muestra
el proceso de tunelización de cortafuegos de la presente
invención.
La figura 4 muestra una forma preferida de la
tabla de conexiones fiables mencionada anteriormente.
La figura 5 es un diagrama de flujo para explicar
detalles de operaciones de aplicación de tunelización dentro y fuera
de un cortafuegos, de acuerdo con la presente invención.
La figura 1 muestra un entorno de cortafuegos
típico para aplicación de la presente invención. El ordenador 1 del
cortafuegos mantiene la función de seguridad de cortafuegos de
acuerdo con los procedimientos habituales actualmente. Las
funciones de este ordenador diferentes a las que tengan que ver con
la ejecución de conexiones entre objetos de dentro del cortafuegos y
objetos de fuera del cortafuegos, son evidentes y, en esencia, no
relevantes para la presente invención. Los servidores 2 y 3 de
interfaz (denominados servidores A y B, respectivamente) funcionan,
respectivamente, dentro y fuera del cortafuegos creado por 1. El
servidor A hace de interfaz entre el cortafuegos y objetos
(aplicaciones de lógica, unidades de equipos, etc.) de dentro del
cortafuegos, incluyendo objetos del propio servidor A. El servidor B
hace de interfaz entre el cortafuegos y objetos de fuera del
cortafuegos, incluyendo objetos del propio servidor B.
En un entorno típico de uso de cortafuegos, el
servidor A conecta con una red situada dentro del cortafuegos (por
ejemplo, una red local privada) por medio de una conexión mostrada
en 4, y el servidor B conecta con una red de fuera del cortafuegos
(por ejemplo, la Internet) mediante una conexión mostrada en 5.
Para aplicar la presente invención a esta
configuración ambiental, los servidores A y B se dotan de
aplicaciones de lógica de "tunelización" y almacenan copias de
una tabla de "conexiones fiables". Estos objetos -las
aplicaciones de tunelización y la tabla de conexiones fiables- se
consideran exclusivos de la presente invención y se describen en
este documento.
Las figuras 2 y 3 describen procesos de
tunelización ejecutados en los servidores A y B, como avance de la
presente invención.
Como se muestra con 10, en la figura 2, una tabla
de conexiones fiables (que se describe en lo que sigue con
referencia a la figura 4) se genera y se almacena en el servidor A
(o se almacena en una memoria fácilmente accesible a ese servidor).
Como se muestra en 11, el servidor A genera una "conexión de
control" especial con el servidor B a través del ordenador del
cortafuegos, y transmite una copia de la tabla de conexiones
fiables al servidor B a través de la conexión de control. Esta
conexión de control, también considerada parte de la presente
invención, es usada por las aplicaciones de tunelización antes
mencionadas para intercomunicar de modo efectivo y, de ese modo,
formar otras conexiones (denominadas en lo que sigue "conexiones
de datos") entre objetos de dentro y fuera del cortafuegos, en
respuesta a demandas recibidas de objetos externos.
Los segmentos de estas conexiones de datos que
atraviesen el cortafuegos sontotalmente independientes de la
conexión de control usada en su formación, y se forman, siempre, de
modo que estén controlados por procesos que se ejecuten dentro del
cortafuegos. Para que una demanda externa dé lugar a la formación de
una conexión de datos con un objeto interno, la demanda debe estar
dirigida a una entrada de la tabla de conexiones fiables, y ser
validada en consecuencia. Las demandas externas consideradas no
válidas son ignoradas, de modo que el cortafuegos y sus recursos
internos sean efectivamente invisibles e inaccesibles a demandantes
externos con información de demanda no válida. A la inversa, debe
entenderse que puedan emitirse demandas válidas, solamente,
dirigidas a individuos con conocimiento privilegiado de entradas de
la tabla de conexiones fiables válidas en ese momento (por ejemplo,
teletrabajadores del propietario de los recursos internos,
etc.).
La figura 3 describe funciones de tunelización
ejecutadas por servidores A y B una vez que B haya recibido y
almacenado su copia de la tabla de conexiones fiables transmitida
por A.
Como se muestra en 20, la aplicación de
tunelización del servidor B está a la espera de recibir una demanda
externa que requiera, efectivamente, una operación de tunelización,
es decir, la generación de una conexión de datos entre un objeto
"servidor" interno designado en la demanda y el objeto externo
del que partió la demanda. Al recibir una demanda (21, figura 3),
la aplicación de tunelización de B la controla, a fin de verificar
que la demanda sea válida (decisión 22, figura 3). Con respecto a
la última función mencionada, debe entenderse que el servidor B
solamente recibe demandas dirigidas a ese servidor, y que la
aplicación de tunelización del servidor B solamente recibe demandas
que tengan aspecto de estar dirigidas a una puerta situada dentro
del cortafuegos, y considera esas demandas válidas, solamente, si
están dirigidas a una entrada válida, en ese momento, de la tabla
de conexiones fiables mencionada anteriormente.
Si la demanda no es válida es ignorada, y la
aplicación del servidor B reanuda la espera de una demanda. Pero si
la demanda es válida, la aplicación de tunelización del servidor B
genera un proceso o tarea "B.1" para manipular elementos
externos de transmisión de datos en relación con el objeto
demandante (23, figura 3). La tarea B.1 establece una conexión de
datos entre sí misma y el objeto demandante (también 23, figura 3),
y transmite la demanda a la aplicación de tunelización del servidor
A, a través de la conexión de control, junto con la identidad de la
tarea B.1 (24, figura 3).
A la recepción de una demanda validada, la
aplicación de tunelización del servidor A genera un proceso o tarea
A.1 para tratar aspectos internos de la transmisión de datos entre
el objeto demandante externo y un objeto servidor identificado en
la demanda (25, figura 3; siendo el último objeto un componente de
una designación de conexión fiable, tal como se explica en lo que
sigue). La tarea A.1 genera segmentos de conexión de datos entre el
objeto servidor y el ordenador del cortafuegos (también 25, figura
3), y da instrucciones al ordenador del cortafuegos para formar una
conexión con B.1 (también 25, figura 1), completando, de ese modo
una conexión de datos entre el objeto servidor interno y el objeto
demandante externo. Debe entenderse que esta conexión de datos
puede requerir memorias intermedias, en los servidores A y B y el
ordenador del cortafuegos, de un tamaño determinado por el protocolo
de transmisión de datos, descrito adicionalmente en lo que sigue, y
la velocidad de transmisión de paquetes requerida por ese
protocolo.
La forma de la tabla de conexiones fiables se
muestra en la figura 4. Ejemplos de dos entradas específicas se
muestran en 30, y se apuntan entradas adicionales en 31, mediante
líneas discontinuas, que se prolongan hacia abajo a partir de la
segunda entrada. Cada entrada consiste en un número de puerta,
información que defina un protocolo de transmisión (usualmente, un
protocolo de transmisión de paquetes a ráfagas), e información que
identifique un objeto servidor. El número de puerta es una
dirección asignada al objeto servidor dentro del cortafuegos. Como
ejemplos de protocolos, las dos primeras entradas de la tabla
incluyen NNTP (Protocolo de transmisión de noticias en red) y HTTP
(Protocolo de transmisión de hipertexto).
La figura 5 muestra con detalle más preciso las
operaciones ejecutadas por las aplicaciones de tunelización en los
servidores A y B de interfaz. Las operaciones que sean las mismas
que las operaciones mostradas en las figuras 2 y 3 se identifican
mediante números idénticos. Las operaciones que sean partes de
operaciones mostradas en las figuras 2 y 3, o difieran en algún
aspecto de ellas, se identifican mediante los mismos números
seguidos por letras (a, b, etc.). Otras operaciones se identifican
mediante números diferentes de los usados previamente.
La operación 10a en el servidor A, una
combinación de las operaciones 10 y 12 de la figura 2, consiste en
la generación y actualización (expansión, modificación, etc.) de la
tabla de conexiones fiables y la copia de ésta para el servidor B.
La operación 11a en el servidor A consiste en el establecimiento o,
como se explica a continuación, el restablecimiento de la conexión
de control entre las aplicaciones de tunelización de los servidores
A y B. La necesidad de restablecer la conexión de control se
produce cuando la conexión se interrumpe de modo no intencionado, y
las operaciones requeridas para detectar y responder a tales casos
se muestran, en la figura 5, con 46-48 (que se
exponen adicionalmente en lo que sigue).
Después de recibir su copia de la tabla de
conexiones fiables, la aplicación de tunelización del servidor B
queda a la espera de demandas externas (20, figura 5). Cuando se
reciba una demanda de tunelización externa válida
(21-22a, 24a, figura 5), y haya sido creada para
este fin una tarea de tratamiento de datos asociada (por ejemplo,
B.1, figura 3), el servidor B presenta la demanda al servidor A
(23a, figura 5), junto con señales de control que indiquen la acción
que se produce e información que identifique la tarea (por ejemplo,
B.1) creada en B para atender la demanda. El servidor B, entonces,
espera el acuse de recibo de la demanda por parte del servidor A
(23c, figura 5), y al recibirlo, tal servidor B establece un
segmento de conexión de datos entre la tarea recién creada y el
objeto demandante (24b, figura 5; por ejemplo, entre B.1 y C, como
en la figura 3). El servidor B, entonces, espera el establecimiento
de un segmento de conexión de datos entre el cortafuegos y la tarea
recién generada en B (24c, figura 5), implicando ese caso el
establecimiento de un segmento de conexión de datos asociado entre
el objeto servidor (el identificado en la demanda) y el servidor B.
El proceso de tunelización en el servidor B se completa, entonces,
hasta que se termine el segmento de conexión de datos entre el
cortafuegos y la tarea en B (40, figura 5), lo que pone fin a la
implicación de servidor B en esa conexión y la demanda asociada (41,
figura 5).
Considerando de nuevo las acciones de
tunelización en el servidor A, una vez establecida o restablecida la
conexión de control, el servidor A queda a la espera de señales de
transmisión de demandas provenientes de B (46, figura 5). Si no se
ha recibido una señal (47, figura 5), pero no ha transcurrido un
intervalo de temporización predeterminado desde que se inició la
espera (48, figura 5), el servidor A, simplemente, continúa
esperando tales señales. Sin embargo, si la temporización ha
transcurrido (decisión SI en 48, figura 5) se supone que la
conexión de control se ha interrumpido de modo no intencionado, y
se reestablece la conexión (se repite 11a).
Si se recibe una demanda del servidor B, el
servidor A, opcionalmente, puede ejecutar su propia operación de
validación (49, figura 5), a fin de verificar que la demanda es de
una conexión fiable válida en ese momento. Si se usa esa opción y
la demanda se considera no válida, se devuelve una señal de error al
servidor B en lugar del acuse de recibo esperado en 23b. Si no se
usa la opción, o si se usa y la demanda se considera válida, el
servidor A procede a establecer su tarea interna, tal como A.1, y
ésta, como se ha descrito en lo que antecede, crea segmentos de
conexión de datos entre el objeto servidor y el cortafuegos, e
instruye al ordenador del cortafuegos para que haga extensiva la
conexión de datos a B.1 (50, figura 5). Ello concluye la
participación del servidor A en la demanda de ese momento,
dejándolo libre para continuar con otras demandas (51, figura
5).
Las aplicaciones de tunelización precedentes
pueden entregarse como un producto de programa "susceptible de ser
leído por un ordenador", por ejemplo, en medios de
almacenamiento o a través de redes de comunicaciones. Debe
entenderse que tal producto puede estar previsto como una única
entidad completa (por ejemplo, instalada en el servidor interno A
y transmitida, total o parcialmente, al servidor externo B), o dos
entidades, o partes, que puedan instalarse separadamente en los
servidores interno y externo. Debe entenderse, también, que el
ordenador del cortafuegos es un participante necesario en la
creación de conexiones de datos a través del cortafuegos.
Claims (7)
1. Aparato de tunelización para una red de
comunicación de datos que incluye un cortafuegos (1), definiendo
dicho cortafuegos zonas interna y externa y formando una barrera de
seguridad que impida a objetos de dicha zona externa que inicien
acceso, directamente, a objetos de dicha zona interna, pero que
permita a objetos de dicha zona interna iniciar y obtener acceso,
directamente, a objetos de dicha zona externa, comprendiendo dicho
aparato de tunelización:
un ordenador (3) de interfaz externo, en dicha
zona externa, que haga de interfaz entre dicho cortafuegos (1) y
objetos de dicha zona externa;
un ordenador (2) de interfaz interno, en dicha
zona interna, que haga de interfaz entre dicho cortafuegos (1) y
objetos de dicha zona interna;
medios, en dichos ordenadores de interfaz interno
y externo, para verificar identidades de objetos fiables
predeterminados en dicha zona interna, a los que se permita el
acceso desde dicha zona externa;
medios, en dicho ordenador de interfaz externo,
que respondan a una demanda emitida por un objeto de dicha zona
externa, para cooperar con dichos medios de verificación a fin de
determinar si esa demanda está dirigida a uno de dichos objetos
fiables y, si la demanda está dirigida de ese modo, para encaminar
la demanda a dicho ordenador de interfaz interno; y
medios, en dichos ordenadores de interfaz interno
y externo, que respondan a dicha demanda dirigida a uno de dichos
objetos fiables, a fin de crear una conexión de comunicación de
datos entre dicho uno de dichos objetos fiables y el objeto externo
que emitió la demanda respectiva, de modo que los segmentos de
dicha conexión de comunicación de datos situados en dicha zona
interna y que atraviesen dicho cortafuegos se formen con el control
exclusivo de dicho ordenador de interfaz interno, y un segmento de
dicha conexión de comunicación de datos que se extienda desde dicho
ordenador de interfaz externo al objeto que emitió la demanda se
forme de tal manera que esté controlado por dicho ordenador de
interfaz externo;
comprendiendo dicho ordenador de interfaz interno
medios para establecer y mantener una conexión de control privada
con dicho ordenador de interfaz externo, y usándose dicha conexión
de control privada para transmitir dicha demanda desde dicho
ordenador de interfaz externo a dicho ordenador de interfaz
interno.
2. Aparato de tunelización de acuerdo con la
reivindicación 1, en el que:
dichos medios para verificar identidades de
dichos objetos fiables incluyen medios, en dicho ordenador de
interfaz interno, para crear y mantener una tabla (figura 4) que
registre dichos objetos fiables, medios para transmitir una copia
de dicho registro de tabla, a través de dicho cortafuegos (1), a
dicho ordenador (3) de interfaz externo, y medios, en dicho
ordenador de interfaz externo, para almacenar y consultar dicho
registro de tabla copiado.
3. Aparato de tunelización de acuerdo con la
reivindicación 2, en el que:
cada entrada (30) de dicha tabla de objetos
fiables consiste en un primer elemento de información que
identifique un objeto de dicha zona interna, un segundo elemento de
información que identifique una puerta de comunicación de datos
asignada al objeto respectivo, y un tercer elemento de información
que identifique un protocolo de comunicación de datos para ser
usado en la transmisión de datos a través de dicha puerta.
4. Aparato de tunelización de acuerdo con la
reivindicación 1, en el que dichos medios para verificar identidades
de dichos objetos fiables, y dichos medios para crear una conexión
de comunicación de datos comprenden:
programas de aplicación de tunelización que se
ejecuten en los ordenadores interno y externo, conteniendo dichos
programas dichos medios de verificación y dichos medios de creación
como elementos constitutivos, y en el que
dichos medios para encaminar dicha demanda a
dicho ordenador de interfaz interno comprenden un tercer elemento
constitutivo de dichos programas de aplicación de tunelización.
5. Aparato de tunelización de acuerdo con la
reivindicación 1, en el que:
dichas zonas interna y externa contienen,
respectivamente, redes de comunicación de datos interna y externa, y
dichos ordenadores de interfaz interno y externo son servidores
conectados, respectivamente, entre dicho cortafuegos y nodos de
dichas redes interna y externa.
6. Lógica de tunelización almacenada en un medio
de almacenamiento susceptible de ser leído por un ordenador, a fin
de permitir a objetos de tratamiento de datos, situados fuera de un
cortafuegos, establecer conexiones de comunicación de datos con
objetos de tratamiento de datos situados dentro de dicho
cortafuegos, comprendiendo dicha lógica:
segmentos interno y externo de programa
destinados a ser ejecutados en ordenadores situados,
respectivamente, dentro y fuera de dicho cortafuegos, haciendo de
interfaz dichos ordenadores entre dicho cortafuegos y dichos objetos
situados, respectivamente, dentro y fuera de dicho cortafuegos;
comprendiendo dicho segmento interno medios para
hacer que dicho ordenador interno genere y mantenga una tabla de
objetos internos fiables, y medios para hacer que dicho ordenador
interno, junto con dicho cortafuegos, proporcione una copia de
dicha tabla a dicho segmento externo;
comprendiendo dicho segmento interno medios para
establecer y mantener una conexión de control privada con dicho
segmento externo, usándose dicha conexión de control privada para
transmitir una demanda enviada por un objeto de dicho segmento
externo, desde dicho segmento externo a dicho segmento interno.
7. Un método para permitir a objetos, situados
fuera de un cortafuegos (1) de seguridad de un sistema informático,
obtener conexiones de datos con objetos seleccionados situados
dentro de dicho cortafuegos, comprendiendo dicho método los pasos
de:
generar y mantener una tabla de objetos
seleccionados situados dentro de dicho cortafuegos (1),
comprendiendo cada entrada (30) de dicha tabla elementos de
información que identifiquen un objeto seleccionado, una puerta de
comunicación de datos asignada a dicho objeto y un protocolo de
comunicación de datos asignado a la puerta respectiva;
proporcionar una copia de dicha tabla fuera de
dicho cortafuegos;
proporcionar acceso a objetos externos, con
habilitación de seguridad específica, a elementos de información
que constituyan una entrada de dicha tabla;
hacer que dichos respectivos objetos externos
emitan demandas para acceder al objeto, a la puerta y a la entidad
de protocolo definidas por los elementos de información
proporcionados a dichos objetos externos; y
hacer que los sistemas informáticos situados
fuera y dentro de dicho cortafuegos establezcan una conexión de
transmisión de datos entre un objeto interno específico
identificado en cada demanda y un objeto externo que inicie esa
demanda, de modo que los segmentos de dicha conexión de transmisión
de datos que se encuentren dentro de dicho cortafuegos y atraviesen
dicho cortafuegos estén construidos con el control exclusivo de
dicho sistema informático situado dentro de dicho cortafuegos;
en el que el sistema informático situado dentro
del cortafuegos establezca y mantenga una conexión de control
privada con el sistema informático situado fuera del cortafuegos,
usándose la conexión de control privada para transmitir dicha
demanda desde dicho sistema informático situado fuera del
cortafuegos a dicho sistema informático situado dentro del
cortafuegos.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US731800 | 1996-10-21 | ||
| US08/731,800 US5944823A (en) | 1996-10-21 | 1996-10-21 | Outside access to computer resources through a firewall |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2231895T3 true ES2231895T3 (es) | 2005-05-16 |
Family
ID=24940995
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES97943996T Expired - Lifetime ES2231895T3 (es) | 1996-10-21 | 1997-10-02 | Acceso desde el exterior a los recursos de ordenador a traves de un cortafuegos. |
Country Status (17)
| Country | Link |
|---|---|
| US (2) | US5944823A (es) |
| EP (1) | EP0932965B1 (es) |
| JP (1) | JP3285882B2 (es) |
| KR (1) | KR100330619B1 (es) |
| CN (1) | CN1107400C (es) |
| AT (1) | ATE285151T1 (es) |
| BR (2) | BR9712635A (es) |
| CA (1) | CA2269544C (es) |
| CZ (1) | CZ295858B6 (es) |
| DE (1) | DE69731965T2 (es) |
| ES (1) | ES2231895T3 (es) |
| HU (1) | HUP0000336A3 (es) |
| MY (1) | MY127656A (es) |
| PL (1) | PL332828A1 (es) |
| RU (1) | RU2178583C2 (es) |
| TW (1) | TW362177B (es) |
| WO (1) | WO1998018248A1 (es) |
Families Citing this family (162)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10361802B1 (en) | 1999-02-01 | 2019-07-23 | Blanding Hovenweep, Llc | Adaptive pattern recognition based control system and method |
| US7113508B1 (en) | 1995-11-03 | 2006-09-26 | Cisco Technology, Inc. | Security system for network address translation systems |
| US5793763A (en) * | 1995-11-03 | 1998-08-11 | Cisco Technology, Inc. | Security system for network address translation systems |
| US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
| US7805756B2 (en) * | 1996-11-29 | 2010-09-28 | Frampton E Ellis | Microchips with inner firewalls, faraday cages, and/or photovoltaic cells |
| US7506020B2 (en) | 1996-11-29 | 2009-03-17 | Frampton E Ellis | Global network computers |
| US7926097B2 (en) | 1996-11-29 | 2011-04-12 | Ellis Iii Frampton E | Computer or microchip protected from the internet by internal hardware |
| US20060195595A1 (en) * | 2003-12-19 | 2006-08-31 | Mendez Daniel J | System and method for globally and securely accessing unified information in a computer network |
| US6104716A (en) * | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
| US6675195B1 (en) * | 1997-06-11 | 2004-01-06 | Oracle International Corporation | Method and apparatus for reducing inefficiencies caused by sending multiple commands to a server |
| US6088728A (en) * | 1997-06-11 | 2000-07-11 | Oracle Corporation | System using session data stored in session data storage for associating and disassociating user identifiers for switching client sessions in a server |
| US6243751B1 (en) * | 1997-06-11 | 2001-06-05 | Oracle Corporation | Method and apparatus for coupling clients to servers |
| US6870546B1 (en) * | 1998-06-01 | 2005-03-22 | Autodesk, Inc. | Protectable expressions in objects having authorable behaviors and appearances |
| US6289461B1 (en) * | 1998-06-09 | 2001-09-11 | Placeware, Inc. | Bi-directional process-to-process byte stream protocol |
| US6233688B1 (en) * | 1998-06-30 | 2001-05-15 | Sun Microsystems, Inc. | Remote access firewall traversal URL |
| DE19831190C1 (de) * | 1998-07-11 | 1999-10-28 | Tracto Technik | Vorrichtung und Verfahren zum Längsunterteilen erdverlegter Rohre |
| DE19832482A1 (de) * | 1998-07-20 | 2000-01-27 | Abb Patent Gmbh | Verfahren zur Informationsübertragung |
| EA002956B1 (ru) * | 1998-08-21 | 2002-12-26 | Висто Корпорейшн | Система и способ для использования глобального транслятора с целью синхронизации элементов рабочего пространства по всей сети |
| US6317837B1 (en) | 1998-09-01 | 2001-11-13 | Applianceware, Llc | Internal network node with dedicated firewall |
| US9239763B2 (en) | 2012-09-28 | 2016-01-19 | Oracle International Corporation | Container database |
| US6754831B2 (en) * | 1998-12-01 | 2004-06-22 | Sun Microsystems, Inc. | Authenticated firewall tunneling framework |
| US6249575B1 (en) | 1998-12-11 | 2001-06-19 | Securelogix Corporation | Telephony security system |
| US6718024B1 (en) | 1998-12-11 | 2004-04-06 | Securelogix Corporation | System and method to discriminate call content type |
| US7133511B2 (en) * | 1998-12-11 | 2006-11-07 | Securelogix Corporation | Telephony security system |
| US6760420B2 (en) | 2000-06-14 | 2004-07-06 | Securelogix Corporation | Telephony security system |
| US6687353B1 (en) | 1998-12-11 | 2004-02-03 | Securelogix Corporation | System and method for bringing an in-line device on-line and assuming control of calls |
| US6700964B2 (en) | 2001-07-23 | 2004-03-02 | Securelogix Corporation | Encapsulation, compression and encryption of PCM data |
| US6226372B1 (en) * | 1998-12-11 | 2001-05-01 | Securelogix Corporation | Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities |
| US6349336B1 (en) * | 1999-04-26 | 2002-02-19 | Hewlett-Packard Company | Agent/proxy connection control across a firewall |
| US6553422B1 (en) * | 1999-04-26 | 2003-04-22 | Hewlett-Packard Development Co., L.P. | Reverse HTTP connections for device management outside a firewall |
| US6718388B1 (en) | 1999-05-18 | 2004-04-06 | Jp Morgan Chase Bank | Secured session sequencing proxy system and method therefor |
| US6463474B1 (en) * | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
| US6584508B1 (en) * | 1999-07-13 | 2003-06-24 | Networks Associates Technology, Inc. | Advanced data guard having independently wrapped components |
| GB9920834D0 (en) | 1999-09-04 | 1999-11-10 | Hewlett Packard Co | Providing secure access through network firewalls |
| FR2800224B1 (fr) * | 1999-10-21 | 2002-12-27 | Ibm | Procede et systeme de mise en antememoire de donnees http transportees avec des donnees de socks dans des datagrammes ip |
| AU1442701A (en) * | 1999-10-28 | 2001-05-08 | Jp Morgan Chase Bank | Secured session sequencing proxy system supporting multiple applications and method therefor |
| US7506358B1 (en) * | 1999-12-09 | 2009-03-17 | Cisco Technology, Inc. | Method and apparatus supporting network communications through a firewall |
| US6347340B1 (en) * | 2000-02-18 | 2002-02-12 | Mobilesys, Inc. | Apparatus and method for converting a network message to a wireless transport message using a modular architecture |
| US20020078198A1 (en) * | 2000-02-25 | 2002-06-20 | Buchbinder John E. | Personal server technology with firewall detection and penetration |
| US6760720B1 (en) | 2000-02-25 | 2004-07-06 | Pedestrian Concepts, Inc. | Search-on-the-fly/sort-on-the-fly search engine for searching databases |
| US20070214262A1 (en) * | 2000-02-25 | 2007-09-13 | Anywheremobile, Inc. | Personal server technology with firewall detection and penetration |
| US6925572B1 (en) * | 2000-02-28 | 2005-08-02 | Microsoft Corporation | Firewall with two-phase filtering |
| US7814309B1 (en) * | 2000-02-29 | 2010-10-12 | Cisco Technology, Inc. | Method for checkpointing and reconstructing separated but interrelated data |
| US6631417B1 (en) | 2000-03-29 | 2003-10-07 | Iona Technologies Plc | Methods and apparatus for securing access to a computer |
| US7814208B2 (en) * | 2000-04-11 | 2010-10-12 | Science Applications International Corporation | System and method for projecting content beyond firewalls |
| WO2001084448A1 (en) * | 2000-05-04 | 2001-11-08 | Mckinsey & Company, Inc. | Method and apparatus for conducting a bidding session |
| US7441270B1 (en) * | 2000-07-06 | 2008-10-21 | Intel Corporation | Connectivity in the presence of barriers |
| AU2001281029A1 (en) * | 2000-08-04 | 2002-02-18 | Entropia, Inc. | System and method of proxying communications in a data network |
| US6834342B2 (en) | 2000-08-16 | 2004-12-21 | Eecad, Inc. | Method and system for secure communication over unstable public connections |
| DE10040463C2 (de) * | 2000-08-18 | 2003-10-23 | Tenovis Gmbh & Co Kg | Verfahren zum Aufbauen einer Datenverbindung zwischen einer ersten und einer zweiten Recheneinheit und Vorrichtung zum Austauschen von Daten |
| US20020032871A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
| US20020032793A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic |
| US8150013B2 (en) * | 2000-11-10 | 2012-04-03 | Securelogix Corporation | Telephony security system |
| US20020069366A1 (en) * | 2000-12-01 | 2002-06-06 | Chad Schoettger | Tunnel mechanis for providing selective external access to firewall protected devices |
| JP2002190824A (ja) | 2000-12-21 | 2002-07-05 | Fujitsu Ltd | ルータ及びipパケットの転送方式 |
| US7631349B2 (en) * | 2001-01-11 | 2009-12-08 | Digi International Inc. | Method and apparatus for firewall traversal |
| US20020095599A1 (en) * | 2001-01-12 | 2002-07-18 | Hyungkeun Hong | VoIP call control proxy |
| US20020095502A1 (en) * | 2001-01-16 | 2002-07-18 | Chester James S. | Business-to-business service provider system for intranet and internet applications |
| JP2002218218A (ja) * | 2001-01-19 | 2002-08-02 | Fuji Photo Film Co Ltd | 画像合成装置 |
| US7127742B2 (en) | 2001-01-24 | 2006-10-24 | Microsoft Corporation | Establishing a secure connection with a private corporate network over a public network |
| US20020124170A1 (en) * | 2001-03-02 | 2002-09-05 | Johnson William S. | Secure content system and method |
| US7302634B2 (en) | 2001-03-14 | 2007-11-27 | Microsoft Corporation | Schema-based services for identity-based data access |
| US7024662B2 (en) | 2001-03-14 | 2006-04-04 | Microsoft Corporation | Executing dynamically assigned functions while providing services |
| US7181017B1 (en) | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| JP4146621B2 (ja) * | 2001-04-05 | 2008-09-10 | セイコーエプソン株式会社 | 出力装置用のセキュリティシステム |
| WO2002097560A2 (en) * | 2001-05-25 | 2002-12-05 | Proxim Corporation | Wireless network system software protocol |
| US8356334B2 (en) * | 2001-05-25 | 2013-01-15 | Conexant Systems, Inc. | Data network node having enhanced security features |
| US7107464B2 (en) * | 2001-07-10 | 2006-09-12 | Telecom Italia S.P.A. | Virtual private network mechanism incorporating security association processor |
| US7904454B2 (en) * | 2001-07-16 | 2011-03-08 | International Business Machines Corporation | Database access security |
| US7369537B1 (en) | 2001-07-18 | 2008-05-06 | Global Ip Solutions, Inc. | Adaptive Voice-over-Internet-Protocol (VoIP) testing and selecting transport including 3-way proxy, client-to-client, UDP, TCP, SSL, and recipient-connect methods |
| US6978383B2 (en) * | 2001-07-18 | 2005-12-20 | Crystal Voice Communications | Null-packet transmission from inside a firewall to open a communication window for an outside transmitter |
| US7206932B1 (en) * | 2003-02-14 | 2007-04-17 | Crystalvoice Communications | Firewall-tolerant voice-over-internet-protocol (VoIP) emulating SSL or HTTP sessions embedding voice data in cookies |
| US20030046586A1 (en) * | 2001-09-05 | 2003-03-06 | Satyam Bheemarasetti | Secure remote access to data between peers |
| US6782351B2 (en) | 2001-09-11 | 2004-08-24 | Purechoice, Inc. | Air quality monitoring and space management system coupled to a private communications network |
| US7003514B2 (en) * | 2001-09-13 | 2006-02-21 | International Business Machines Corporation | Method and apparatus for restricting a fan-out search in a peer-to-peer network based on accessibility of nodes |
| US7308710B2 (en) | 2001-09-28 | 2007-12-11 | Jp Morgan Chase Bank | Secured FTP architecture |
| US7370353B2 (en) * | 2001-11-05 | 2008-05-06 | Cisco Technology, Inc. | System and method for managing dynamic network sessions |
| US7647422B2 (en) * | 2001-11-06 | 2010-01-12 | Enterasys Networks, Inc. | VPN failure recovery |
| US20030097479A1 (en) * | 2001-11-16 | 2003-05-22 | Zellers Mark H. | Result notification through firewalls |
| US10360545B2 (en) | 2001-12-12 | 2019-07-23 | Guardian Data Storage, Llc | Method and apparatus for accessing secured electronic data off-line |
| US7921288B1 (en) | 2001-12-12 | 2011-04-05 | Hildebrand Hal S | System and method for providing different levels of key security for controlling access to secured items |
| US10033700B2 (en) * | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
| US7380120B1 (en) | 2001-12-12 | 2008-05-27 | Guardian Data Storage, Llc | Secured data format for access control |
| US7921284B1 (en) | 2001-12-12 | 2011-04-05 | Gary Mark Kinghorn | Method and system for protecting electronic data in enterprise environment |
| US7565683B1 (en) | 2001-12-12 | 2009-07-21 | Weiqing Huang | Method and system for implementing changes to security policies in a distributed security system |
| US8065713B1 (en) | 2001-12-12 | 2011-11-22 | Klimenty Vainstein | System and method for providing multi-location access management to secured items |
| US7334049B1 (en) | 2001-12-21 | 2008-02-19 | Cisco Technology, Inc. | Apparatus and methods for performing network address translation (NAT) in a fully connected mesh with NAT virtual interface (NVI) |
| US20030140142A1 (en) * | 2002-01-18 | 2003-07-24 | David Marples | Initiating connections through firewalls and network address translators |
| DE10207976B4 (de) * | 2002-02-25 | 2004-04-15 | Siemens Ag | Verfahren zum netzübergreifenden Verbindungsaufbau und Netzübergangseinrichtung zur Realisierung des Verfahrens |
| US7092943B2 (en) | 2002-03-01 | 2006-08-15 | Enterasys Networks, Inc. | Location based data |
| US9886309B2 (en) * | 2002-06-28 | 2018-02-06 | Microsoft Technology Licensing, Llc | Identity-based distributed computing for device resources |
| US7127491B2 (en) * | 2002-07-23 | 2006-10-24 | Canon Kabushiki Kaisha | Remote command server |
| GB2395638B (en) * | 2002-11-20 | 2005-11-09 | Fujitsu Serv Ltd | Multiple network access |
| US7359930B2 (en) * | 2002-11-21 | 2008-04-15 | Arbor Networks | System and method for managing computer networks |
| US9818136B1 (en) | 2003-02-05 | 2017-11-14 | Steven M. Hoffberg | System and method for determining contingent relevance |
| US7864780B1 (en) | 2003-04-29 | 2011-01-04 | Cisco Technology, Inc. | Apparatus and methods for handling name resolution over IPV6 using NAT-PT and DNS-ALG |
| US7676675B2 (en) * | 2003-06-06 | 2010-03-09 | Microsoft Corporation | Architecture for connecting a remote client to a local client desktop |
| JP4115354B2 (ja) * | 2003-07-04 | 2008-07-09 | 富士フイルム株式会社 | ピア・ツー・ピア通信システム |
| US8266294B2 (en) | 2003-08-13 | 2012-09-11 | Microsoft Corporation | Routing hints |
| US7882251B2 (en) | 2003-08-13 | 2011-02-01 | Microsoft Corporation | Routing hints |
| JP4229013B2 (ja) * | 2003-09-01 | 2009-02-25 | 株式会社デンソー | 交流発電機 |
| US7703140B2 (en) | 2003-09-30 | 2010-04-20 | Guardian Data Storage, Llc | Method and system for securing digital assets using process-driven security policies |
| US7558842B2 (en) * | 2003-10-17 | 2009-07-07 | E2Open, Inc. | Large file transfer in a design collaboration environment |
| US20050086537A1 (en) * | 2003-10-17 | 2005-04-21 | Alex Johnson | Methods and system for replicating and securing process control data |
| US7543331B2 (en) * | 2003-12-22 | 2009-06-02 | Sun Microsystems, Inc. | Framework for providing a configurable firewall for computing systems |
| FR2865335A1 (fr) * | 2004-01-16 | 2005-07-22 | France Telecom | Systeme de communication entre reseaux ip prives et publics |
| US7426512B1 (en) * | 2004-02-17 | 2008-09-16 | Guardium, Inc. | System and methods for tracking local database access |
| US7580403B2 (en) * | 2004-02-26 | 2009-08-25 | Enterasys Networks, Inc. | Status transmission system and method |
| US20050195756A1 (en) * | 2004-02-26 | 2005-09-08 | Frattura David E. | Status announcement system and method |
| EP1725946A4 (en) * | 2004-03-10 | 2012-07-11 | Enterasys Networks Inc | Dynamic Network Detection System and Method |
| US7805523B2 (en) * | 2004-03-15 | 2010-09-28 | Mitchell David C | Method and apparatus for partial updating of client interfaces |
| EP1738271A4 (en) * | 2004-03-15 | 2008-12-03 | Bungee Labs Inc | METHOD AND SYSTEM OF A DECLARANT COMPUTER PROGRAMMING LANGUAGE |
| US7415521B2 (en) * | 2004-03-31 | 2008-08-19 | International Business Machines Corporation | Method for controlling client access |
| JP4492248B2 (ja) * | 2004-08-04 | 2010-06-30 | 富士ゼロックス株式会社 | ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法 |
| US7945945B2 (en) * | 2004-08-06 | 2011-05-17 | Enterasys Networks, Inc. | System and method for address block enhanced dynamic network policy management |
| US7415470B2 (en) * | 2004-08-12 | 2008-08-19 | Oracle International Corporation | Capturing and re-creating the state of a queue when migrating a session |
| US7502824B2 (en) * | 2004-08-12 | 2009-03-10 | Oracle International Corporation | Database shutdown with session migration |
| CN100353721C (zh) * | 2004-10-20 | 2007-12-05 | 尚宏电子股份有限公司 | 一种可穿透防火墙的双向信号传输装置 |
| US7543032B2 (en) * | 2004-10-22 | 2009-06-02 | Canyonbridge, Inc. | Method and apparatus for associating messages with data elements |
| US7347628B2 (en) | 2004-11-08 | 2008-03-25 | Enterasys Networks, Inc. | Optical interface identification system |
| US7661131B1 (en) | 2005-02-03 | 2010-02-09 | Sun Microsystems, Inc. | Authentication of tunneled connections |
| US7565526B1 (en) | 2005-02-03 | 2009-07-21 | Sun Microsystems, Inc. | Three component secure tunnel |
| US9176772B2 (en) * | 2005-02-11 | 2015-11-03 | Oracle International Corporation | Suspending and resuming of sessions |
| US8086232B2 (en) * | 2005-06-28 | 2011-12-27 | Enterasys Networks, Inc. | Time synchronized wireless method and operations |
| US7970788B2 (en) * | 2005-08-02 | 2011-06-28 | International Business Machines Corporation | Selective local database access restriction |
| CN1921377B (zh) * | 2005-08-26 | 2010-09-15 | 鸿富锦精密工业(深圳)有限公司 | 数据同步系统及方法 |
| US8874477B2 (en) | 2005-10-04 | 2014-10-28 | Steven Mark Hoffberg | Multifactorial optimization system and method |
| US7933923B2 (en) | 2005-11-04 | 2011-04-26 | International Business Machines Corporation | Tracking and reconciling database commands |
| US20070174454A1 (en) * | 2006-01-23 | 2007-07-26 | Mitchell David C | Method and apparatus for accessing Web services and URL resources for both primary and shared users over a reverse tunnel mechanism |
| US20070276950A1 (en) * | 2006-05-26 | 2007-11-29 | Rajesh Dadhia | Firewall For Dynamically Activated Resources |
| JP2007102807A (ja) * | 2006-11-27 | 2007-04-19 | Seiko Epson Corp | ネットワークに接続された仲介装置 |
| US7950045B2 (en) * | 2006-12-13 | 2011-05-24 | Cellco Partnership | Techniques for managing security in next generation communication networks |
| US8141100B2 (en) | 2006-12-20 | 2012-03-20 | International Business Machines Corporation | Identifying attribute propagation for multi-tier processing |
| US7937353B2 (en) * | 2007-01-15 | 2011-05-03 | International Business Machines Corporation | Method and system for determining whether to alter a firewall configuration |
| US8495367B2 (en) | 2007-02-22 | 2013-07-23 | International Business Machines Corporation | Nondestructive interception of secure data in transit |
| UA79576C2 (en) * | 2007-05-03 | 2007-06-25 | Serhii Ernstovych Ahieiev | Method for communications between computer networks at the application layer |
| US20080309665A1 (en) * | 2007-06-13 | 2008-12-18 | 3D Systems, Inc., A California Corporation | Distributed rapid prototyping |
| US7877507B2 (en) | 2008-02-29 | 2011-01-25 | Red Hat, Inc. | Tunneling SSL over SSH |
| US8261326B2 (en) | 2008-04-25 | 2012-09-04 | International Business Machines Corporation | Network intrusion blocking security overlay |
| KR101555083B1 (ko) * | 2008-11-11 | 2015-09-22 | 인터내셔널 비지네스 머신즈 코포레이션 | 제공 장치, 시스템, 서버 장치, 프로그램 및 방법 |
| TW201106251A (en) | 2009-04-24 | 2011-02-16 | Ibm | Editing apparatus, editing method and program |
| US8549038B2 (en) * | 2009-06-15 | 2013-10-01 | Oracle International Corporation | Pluggable session context |
| US20100333192A1 (en) * | 2009-06-24 | 2010-12-30 | Esgw Holdings Limited | Secure storage |
| WO2011083785A1 (ja) * | 2010-01-05 | 2011-07-14 | 日本電気株式会社 | ネットワークシステム、及びネットワーク冗長化方法 |
| US8429735B2 (en) | 2010-01-26 | 2013-04-23 | Frampton E. Ellis | Method of using one or more secure private networks to actively configure the hardware of a computer or microchip |
| JP5458977B2 (ja) * | 2010-03-10 | 2014-04-02 | 富士通株式会社 | 中継処理方法、プログラム及び装置 |
| JP5617709B2 (ja) | 2011-03-16 | 2014-11-05 | 富士通株式会社 | プログラム、制御装置および方法 |
| US9363327B2 (en) | 2011-06-15 | 2016-06-07 | Juniper Networks, Inc. | Network integrated dynamic resource routing |
| US9571566B2 (en) * | 2011-06-15 | 2017-02-14 | Juniper Networks, Inc. | Terminating connections and selecting target source devices for resource requests |
| US8504723B2 (en) | 2011-06-15 | 2013-08-06 | Juniper Networks, Inc. | Routing proxy for resource requests and resources |
| US9100437B2 (en) | 2011-09-28 | 2015-08-04 | Fisher-Rosemount Systems, Inc. | Methods, apparatus, and articles of manufacture to provide firewalls for process control systems |
| CN104428811B (zh) * | 2012-07-12 | 2016-08-24 | 学校法人冲绳科学技术大学院大学学园 | 使用社交网络接口的通用模拟系统 |
| US9380081B1 (en) * | 2013-05-17 | 2016-06-28 | Ca, Inc. | Bidirectional network data replications |
| US9674141B2 (en) * | 2013-12-27 | 2017-06-06 | Intel Corporation | Techniques for implementing a secure mailbox in resource-constrained embedded systems |
| US10289617B2 (en) | 2015-12-17 | 2019-05-14 | Oracle International Corporation | Accessing on-premise and off-premise datastores that are organized using different application schemas |
| US10387387B2 (en) | 2015-12-17 | 2019-08-20 | Oracle International Corporation | Enabling multi-tenant access to respective isolated data sets organized using different application schemas |
| US10303894B2 (en) | 2016-08-31 | 2019-05-28 | Oracle International Corporation | Fine-grained access control for data manipulation language (DML) operations on relational data |
| KR101947169B1 (ko) * | 2017-06-30 | 2019-02-12 | 주식회사 아라드네트웍스 | IP 터널링을 이용한IoT 디바이스제어 방법 및장치 |
| CN109246060B (zh) * | 2017-07-10 | 2022-07-05 | 中兴通讯股份有限公司 | 一种建立链接的方法、终端及系统 |
| US10609152B2 (en) * | 2017-07-11 | 2020-03-31 | Cisco Technology, Inc. | Creation of remote direct access path via internet to firewalled device using multi-site session forwarding |
| US11699317B2 (en) | 2019-07-26 | 2023-07-11 | Hewlett-Packard Development Company, L.P. | Storage enclosures |
| CN114978643B (zh) * | 2022-05-13 | 2023-08-29 | 北京天融信网络安全技术有限公司 | 一种通信方法、网络设备及存储介质 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5283828A (en) * | 1991-03-01 | 1994-02-01 | Hughes Training, Inc. | Architecture for utilizing coprocessing systems to increase performance in security adapted computer systems |
| US5455953A (en) * | 1993-11-03 | 1995-10-03 | Wang Laboratories, Inc. | Authorization system for obtaining in single step both identification and access rights of client to server directly from encrypted authorization ticket |
| US5481715A (en) * | 1993-12-15 | 1996-01-02 | Sun Microsystems, Inc. | Method and apparatus for delegated communications in a computer system using trusted deputies |
| US5416842A (en) * | 1994-06-10 | 1995-05-16 | Sun Microsystems, Inc. | Method and apparatus for key-management scheme for use with internet protocols at site firewalls |
| US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
| US5606617A (en) * | 1994-10-14 | 1997-02-25 | Brands; Stefanus A. | Secret-key certificates |
| US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
| US5632011A (en) * | 1995-05-22 | 1997-05-20 | Sterling Commerce, Inc. | Electronic mail management system for operation on a host computer system |
| US5696898A (en) * | 1995-06-06 | 1997-12-09 | Lucent Technologies Inc. | System and method for database access control |
| US5761669A (en) * | 1995-06-06 | 1998-06-02 | Microsoft Corporation | Controlling access to objects on multiple operating systems |
| US5623600A (en) * | 1995-09-26 | 1997-04-22 | Trend Micro, Incorporated | Virus detection and removal apparatus for computer networks |
| US5680461A (en) * | 1995-10-26 | 1997-10-21 | Sun Microsystems, Inc. | Secure network protocol system and method |
| US5826029A (en) * | 1995-10-31 | 1998-10-20 | International Business Machines Corporation | Secured gateway interface |
| US5692047A (en) * | 1995-12-08 | 1997-11-25 | Sun Microsystems, Inc. | System and method for executing verifiable programs with facility for using non-verifiable programs from trusted sources |
| US5602918A (en) * | 1995-12-22 | 1997-02-11 | Virtual Open Network Environment Corp. | Application level security system and method |
| US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
-
1996
- 1996-10-21 US US08/731,800 patent/US5944823A/en not_active Expired - Lifetime
-
1997
- 1997-06-03 TW TW086107568A patent/TW362177B/zh not_active IP Right Cessation
- 1997-09-19 MY MYPI97004377A patent/MY127656A/en unknown
- 1997-09-19 CN CN97118699A patent/CN1107400C/zh not_active Expired - Lifetime
- 1997-10-02 EP EP97943996A patent/EP0932965B1/en not_active Expired - Lifetime
- 1997-10-02 ES ES97943996T patent/ES2231895T3/es not_active Expired - Lifetime
- 1997-10-02 WO PCT/GB1997/002712 patent/WO1998018248A1/en active IP Right Grant
- 1997-10-02 DE DE69731965T patent/DE69731965T2/de not_active Expired - Lifetime
- 1997-10-02 CZ CZ19991387A patent/CZ295858B6/cs not_active IP Right Cessation
- 1997-10-02 AT AT97943996T patent/ATE285151T1/de not_active IP Right Cessation
- 1997-10-02 PL PL97332828A patent/PL332828A1/xx unknown
- 1997-10-02 BR BR9712635-7A patent/BR9712635A/pt not_active Application Discontinuation
- 1997-10-02 JP JP51905698A patent/JP3285882B2/ja not_active Expired - Lifetime
- 1997-10-02 KR KR1019997002966A patent/KR100330619B1/ko not_active IP Right Cessation
- 1997-10-02 CA CA002269544A patent/CA2269544C/en not_active Expired - Fee Related
- 1997-10-02 RU RU99109968/09A patent/RU2178583C2/ru not_active IP Right Cessation
- 1997-10-02 HU HU0000336A patent/HUP0000336A3/hu unknown
- 1997-10-20 BR BR9705094A patent/BR9705094A/pt not_active Application Discontinuation
-
1998
- 1998-08-12 US US09/132,915 patent/US6061797A/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| BR9705094A (pt) | 1999-06-29 |
| CN1180871A (zh) | 1998-05-06 |
| WO1998018248A1 (en) | 1998-04-30 |
| JP2000505270A (ja) | 2000-04-25 |
| CZ138799A3 (cs) | 1999-08-11 |
| CA2269544A1 (en) | 1998-04-30 |
| EP0932965A1 (en) | 1999-08-04 |
| HUP0000336A3 (en) | 2000-08-28 |
| CN1107400C (zh) | 2003-04-30 |
| EP0932965B1 (en) | 2004-12-15 |
| US5944823A (en) | 1999-08-31 |
| DE69731965D1 (de) | 2005-01-20 |
| RU2178583C2 (ru) | 2002-01-20 |
| DE69731965T2 (de) | 2005-12-29 |
| TW362177B (en) | 1999-06-21 |
| KR20000048930A (ko) | 2000-07-25 |
| CA2269544C (en) | 2004-12-28 |
| MY127656A (en) | 2006-12-29 |
| PL332828A1 (en) | 1999-10-11 |
| JP3285882B2 (ja) | 2002-05-27 |
| US6061797A (en) | 2000-05-09 |
| KR100330619B1 (ko) | 2002-03-29 |
| BR9712635A (pt) | 1999-10-26 |
| HUP0000336A2 (hu) | 2000-06-28 |
| ATE285151T1 (de) | 2005-01-15 |
| CZ295858B6 (cs) | 2005-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2231895T3 (es) | Acceso desde el exterior a los recursos de ordenador a traves de un cortafuegos. | |
| Stajano | The resurrecting duckling—what next? | |
| US8024565B2 (en) | Authorizing information flows | |
| US6807577B1 (en) | System and method for network log-on by associating legacy profiles with user certificates | |
| US7793100B2 (en) | Reference monitor for enforcing information flow policies | |
| US20070143840A1 (en) | System and method for associating security information with information objects in a data processing system | |
| RU99109968A (ru) | Споособ и устройство доступа к ресурсам компьютера через брандмауэр | |
| US10701053B2 (en) | Authentication and approval control system for distributed ledger platform | |
| JP2011044178A (ja) | バイオメトリックデバイスを用いて企業リソースへのアクセスを可能にするシステム、方法およびコンピュータプログラム製品 | |
| JPH10506744A (ja) | ステーションから少なくとも一つのサーバへの接続を安全化する方法、およびこの方法を使用する装置 | |
| US6651174B1 (en) | Firewall port switching | |
| US20060265506A1 (en) | Systems and methods for establishing and validating secure network sessions | |
| CN114666341A (zh) | 一种去中心化sdp控制器实现方法及计算机存储介质 | |
| CN1601954B (zh) | 不中断服务地横跨安全边界移动主体 | |
| US7631179B2 (en) | System, method and apparatus for securing network data | |
| EP2805447B1 (en) | Integrating server applications with multiple authentication providers | |
| US10791095B2 (en) | Secure authentication and data transfer for cloud systems | |
| US6961772B1 (en) | Transparent connection type binding by address range | |
| JPH1028144A (ja) | アクセス制御機能付きネットワーク構成方式 | |
| CN110474884A (zh) | 以太坊网络系统及通信方法、设备及计算机可读存储介质 | |
| KR101535746B1 (ko) | 보안 감시 네트워크의 접근 제어 시스템 및 방법 | |
| JP4898219B2 (ja) | 電子機器の認証についての識別管理システム | |
| TW448387B (en) | Generalized policy server | |
| Stajano et al. | The resurrecting duckling | |
| JP2005501432A (ja) | ポータブルデバイスと企業ネットワークとの間の自発的仮想専用ネットワーク |