JP2003509926A - ネットワークを介するトランザクションをセキュアにするためのシステムおよび方法 - Google Patents
ネットワークを介するトランザクションをセキュアにするためのシステムおよび方法Info
- Publication number
- JP2003509926A JP2003509926A JP2001523944A JP2001523944A JP2003509926A JP 2003509926 A JP2003509926 A JP 2003509926A JP 2001523944 A JP2001523944 A JP 2001523944A JP 2001523944 A JP2001523944 A JP 2001523944A JP 2003509926 A JP2003509926 A JP 2003509926A
- Authority
- JP
- Japan
- Prior art keywords
- node
- packet
- message
- network
- master
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
公共のインターネットは、コンピュータ間をネットワーク化する世界最大のシステムである。しかしながら、インターネットを介して通信される変動しやすいデータを保護するための、十分にセキュアな手段は提供されていない。したがって、本発明は、セキュアでないパケットスイッチ型通信ネットワークを介してセキュアなトランザクションを実行するシステムおよび方法を提供する。これは、セキュアでない通信ネットワークを介する多くのマスターノードを相互接続することによって、為される。マスターノードは、擬ランダム通信経路を経由するセキュアでないネットワークを介して暗号化されたデータパケットを送信することができる。マスターノードは、さらに、ネットワークの故障時に、セキュアなトランザクションの任意の状態に戻ることができる。
Description
【0001】
(発明の属する技術分野)
本発明は、ネットワーク上でのセキュアなトランザクションのための方法およ
びシステムに関し、より詳細には、管理されておらず確実でない通信ネットワー
ク上でのセキュアかつ確実なトランザクションを提供するシステムおよび方法に
関する。
びシステムに関し、より詳細には、管理されておらず確実でない通信ネットワー
ク上でのセキュアかつ確実なトランザクションを提供するシステムおよび方法に
関する。
【0002】
(発明の背景)
トランザクションネットワークが、様々な電子サービスをセキュアかつ確実な
様態で提供するのに有用であることは周知である。そのようなトランザクション
ネットワークの例は多数存在するが、いくつか例を挙げると、自動銀行取引機器
ネットワーク、航空券キオスクネットワーク、クレジットカード認証機器ネット
ワーク等がある。
様態で提供するのに有用であることは周知である。そのようなトランザクション
ネットワークの例は多数存在するが、いくつか例を挙げると、自動銀行取引機器
ネットワーク、航空券キオスクネットワーク、クレジットカード認証機器ネット
ワーク等がある。
【0003】
トランザクションネットワーク(TN)は、特定の相互接続されたコンピュー
タ、データサーバ、ならびに共働して特定のサービスを行うスイッチングエレメ
ントおよびルーチンエレメントからなる地理的に分散された集合体である。TN
は通常、1つ以上のアクセスポイントまたはゲートウェイを含み、アクセスポイ
ントまたはゲートウェイを介してTNから情報を得たり、TNに情報を配信した
りする。例えば、クレジットカード処理は、通常、少なくとも2つのアクセスポ
イントを含む。一方のアクセスポイントにより、エンドユーザは、TNに情報を
入力したりTNから情報を受け取ったりできる。第2のアクセスポイントは、T
Nに入力したりTNから受け取ったりしたその情報をクレジットカードサーバに
送信する。
タ、データサーバ、ならびに共働して特定のサービスを行うスイッチングエレメ
ントおよびルーチンエレメントからなる地理的に分散された集合体である。TN
は通常、1つ以上のアクセスポイントまたはゲートウェイを含み、アクセスポイ
ントまたはゲートウェイを介してTNから情報を得たり、TNに情報を配信した
りする。例えば、クレジットカード処理は、通常、少なくとも2つのアクセスポ
イントを含む。一方のアクセスポイントにより、エンドユーザは、TNに情報を
入力したりTNから情報を受け取ったりできる。第2のアクセスポイントは、T
Nに入力したりTNから受け取ったりしたその情報をクレジットカードサーバに
送信する。
【0004】
通常、トランザクションネットワークは、プライベートネットワーク上に構築
される。プライベートネットワークは、公共のために利用できないネットワーク
である。トランザクションを意図して用いられるプライベートネットワークの一
つのタイプは、パケットスイッチ型ネットワークである。トランザクションを目
的として利用されるパケットスイッチ型ネットワークは、電子メッセージを送信
する際に、そのメッセージをパケットとして公知のより小さなメッセージに分割
して送信するネットワークである。これらのパケットは、送信コンピュータから
受信コンピュータへと「スイッチ」または送信される。「スイッチング」とは、
各パケットが目的地アドレスによって識別され、ネットワーク上を個別に送信さ
れる技術のことである。従って、一定のポイントツーポイント回路にメッセージ
を伝送させる必要のある電話回路スイッチングとは異なり、パケットスイッチン
グは、各メッセージがネットワーク上の異なる経路を通ってその目的地に到着す
ることを可能にする。完全な電子メッセージを含む1組のパケットの全てを受け
取ると、目的地のコンピュータは、適切な配列となるようにパケットを組み立て
てメッセージを得る。プライベートパケットスイッチングネットワークは、公共
通信の目的に利用できないパケットスイッチ型ネットワークにすぎない。通常、
これは、ネットワークにセキュア上の機能を加えて、許可されていない人による
アクセスを防止することにより達成される。
される。プライベートネットワークは、公共のために利用できないネットワーク
である。トランザクションを意図して用いられるプライベートネットワークの一
つのタイプは、パケットスイッチ型ネットワークである。トランザクションを目
的として利用されるパケットスイッチ型ネットワークは、電子メッセージを送信
する際に、そのメッセージをパケットとして公知のより小さなメッセージに分割
して送信するネットワークである。これらのパケットは、送信コンピュータから
受信コンピュータへと「スイッチ」または送信される。「スイッチング」とは、
各パケットが目的地アドレスによって識別され、ネットワーク上を個別に送信さ
れる技術のことである。従って、一定のポイントツーポイント回路にメッセージ
を伝送させる必要のある電話回路スイッチングとは異なり、パケットスイッチン
グは、各メッセージがネットワーク上の異なる経路を通ってその目的地に到着す
ることを可能にする。完全な電子メッセージを含む1組のパケットの全てを受け
取ると、目的地のコンピュータは、適切な配列となるようにパケットを組み立て
てメッセージを得る。プライベートパケットスイッチングネットワークは、公共
通信の目的に利用できないパケットスイッチ型ネットワークにすぎない。通常、
これは、ネットワークにセキュア上の機能を加えて、許可されていない人による
アクセスを防止することにより達成される。
【0005】
プライベートパケットスイッチ型ネットワークは、高レベルのセキュア性を提
供するので、その結果、トランザクションネットワークにおいて最も頻繁に利用
される。第1に、ネットワークがプライベートな性質を有する場合、潜在的なコ
ンピュータハッカー(泥棒)がネットワークにアクセスするのはいっそう難しい
。第2に、メッセージが、上で概説したパケットスイッチング技術を用いて送信
された結果、ハッカーがメッセージ全体を傍受し組み替え直すことはいっそう難
しい。個々のパケットが送信前に電子的に暗号化された場合に、このことは特に
当てはまる。
供するので、その結果、トランザクションネットワークにおいて最も頻繁に利用
される。第1に、ネットワークがプライベートな性質を有する場合、潜在的なコ
ンピュータハッカー(泥棒)がネットワークにアクセスするのはいっそう難しい
。第2に、メッセージが、上で概説したパケットスイッチング技術を用いて送信
された結果、ハッカーがメッセージ全体を傍受し組み替え直すことはいっそう難
しい。個々のパケットが送信前に電子的に暗号化された場合に、このことは特に
当てはまる。
【0006】
しかし、プライベートであるパケットスイッチ型データネットワークを利用す
る欠点は、そのようなネットワークの過剰なコストである。そのようなネットワ
ークのオーナーは、まずネットワークを構築し、その後、関連するプライベート
回路を維持するために料金を支払う必要があるからである。これらの維持コスト
は、公共データネットワークに関わる維持コストと比べて非常に大きなものとな
り得る。さらに、プライベートデータネットワークは、また、離れた領域におけ
る制限された利用性の問題を有する。
る欠点は、そのようなネットワークの過剰なコストである。そのようなネットワ
ークのオーナーは、まずネットワークを構築し、その後、関連するプライベート
回路を維持するために料金を支払う必要があるからである。これらの維持コスト
は、公共データネットワークに関わる維持コストと比べて非常に大きなものとな
り得る。さらに、プライベートデータネットワークは、また、離れた領域におけ
る制限された利用性の問題を有する。
【0007】
編成および配信のための非常に効率的な手段を提供する、インターネット等の
、公共パケットスイッチ型データネットワークもまた周知である。インターネッ
トを利用してデータを送信するのにかかるコストは、プライベートデータネット
ワークの場合と比べてかなり低い。さらに、インターネットに関連するバンド幅
は、しばしば、プライベートネットワークに利用可能なバンド幅よりもかなり大
きくなり得る。しかし、インターネットは、トランザクションネットワークを相
互接続することに関していくつかの欠点を有する。第1に、インターネットは公
共のネットワークであるので、インターネット上を送信されるデータは、公共の
閲覧に常時利用可能である。第2に、インターネットは、サービスの確実性な品
質をユーザに提供することのできる中央管理または調整(co−ordinat
ion)を提供しない。第3に、インターネット上でのさまざまなポイント間で
のデータのルーティングは最適未満であり、その結果、過度のネットワーク遅延
に陥る。最後に、インターネットにおいて利用されるさまざまなリンクおよびル
ーティングエレメントは、機能不全または混雑状態になり、その結果、ネットワ
ークの性能を予測することができない。
、公共パケットスイッチ型データネットワークもまた周知である。インターネッ
トを利用してデータを送信するのにかかるコストは、プライベートデータネット
ワークの場合と比べてかなり低い。さらに、インターネットに関連するバンド幅
は、しばしば、プライベートネットワークに利用可能なバンド幅よりもかなり大
きくなり得る。しかし、インターネットは、トランザクションネットワークを相
互接続することに関していくつかの欠点を有する。第1に、インターネットは公
共のネットワークであるので、インターネット上を送信されるデータは、公共の
閲覧に常時利用可能である。第2に、インターネットは、サービスの確実性な品
質をユーザに提供することのできる中央管理または調整(co−ordinat
ion)を提供しない。第3に、インターネット上でのさまざまなポイント間で
のデータのルーティングは最適未満であり、その結果、過度のネットワーク遅延
に陥る。最後に、インターネットにおいて利用されるさまざまなリンクおよびル
ーティングエレメントは、機能不全または混雑状態になり、その結果、ネットワ
ークの性能を予測することができない。
【0008】
インターネット通信に関する上記問題を解決するいくつかの試みがなされてい
る。そのような試みの1つは、インターネット上を送信される前に、暗号化ルー
タを用いてデータを暗号化することである。暗号化ルータは、基本的に、通信ネ
ットワーク上を送信される情報を暗号化または復号化する機能を実行するコンピ
ュータである。暗号化ルータおよび公共ネットワークを用いて関係しているコン
ピュータまたはネットワークに接続するように構築されたネットワークは、「仮
想プライベートネットワーク(VPN)」として公知である。VPNは、電子デ
ータ通信の当業者に周知である。
る。そのような試みの1つは、インターネット上を送信される前に、暗号化ルー
タを用いてデータを暗号化することである。暗号化ルータは、基本的に、通信ネ
ットワーク上を送信される情報を暗号化または復号化する機能を実行するコンピ
ュータである。暗号化ルータおよび公共ネットワークを用いて関係しているコン
ピュータまたはネットワークに接続するように構築されたネットワークは、「仮
想プライベートネットワーク(VPN)」として公知である。VPNは、電子デ
ータ通信の当業者に周知である。
【0009】
しかし、インターネット型VPNは、確実なトランザクションネットワークの
目的のための使用を制限する欠点を多数有する。これらの欠点は、図1および図
2を参照して最もよく説明される。
目的のための使用を制限する欠点を多数有する。これらの欠点は、図1および図
2を参照して最もよく説明される。
【0010】
図1は、当業者に公知の世界規模通信100についての開放型システム間相互
接続(OSI)規格を示す。この規格はISO(世界標準化機構)規格であり、
コンピュータ通信の7つの層についての規格を規定している。7つの層とは、 (i)通信媒体にビットを渡し、且つ、通信媒体からビットを受け取る物理層1
02 (ii)ノードからノードへの有効性および伝送の一体性を確実にするデータリ
ンク層104 (iii)送信ノードと受信ノードとの間のルートを構築するネットワーク層1
06 (iv)エンドからエンドへの有効性および伝送の一体性の全体に関するトラン
スポート層108 (v)伝送されたデータの重要な部分にチェックポイントでマークを施して、接
続不良の際にも早急な回復を可能にする、接続者(connected par
ty)間の通信の調整を提供するセッション層110 (vi)異なるコンピュータの種類の間でデータが伝送される場合に、交渉を行
い、データが表現されエンコードされる方法を管理する、プレゼンテーション層
112 (vii)プログラムが他のプログラムと通信を行うために使用する言語および
シンタックスを規定するアプリケーション層114 である。
接続(OSI)規格を示す。この規格はISO(世界標準化機構)規格であり、
コンピュータ通信の7つの層についての規格を規定している。7つの層とは、 (i)通信媒体にビットを渡し、且つ、通信媒体からビットを受け取る物理層1
02 (ii)ノードからノードへの有効性および伝送の一体性を確実にするデータリ
ンク層104 (iii)送信ノードと受信ノードとの間のルートを構築するネットワーク層1
06 (iv)エンドからエンドへの有効性および伝送の一体性の全体に関するトラン
スポート層108 (v)伝送されたデータの重要な部分にチェックポイントでマークを施して、接
続不良の際にも早急な回復を可能にする、接続者(connected par
ty)間の通信の調整を提供するセッション層110 (vi)異なるコンピュータの種類の間でデータが伝送される場合に、交渉を行
い、データが表現されエンコードされる方法を管理する、プレゼンテーション層
112 (vii)プログラムが他のプログラムと通信を行うために使用する言語および
シンタックスを規定するアプリケーション層114 である。
【0011】
ここで図2に、VPN上で通信される電子メッセージの模式的な表示を示す。
図1において言及したOSIモデルの文脈において伝送を示すことに留意された
い。「HELLO」という電子メッセージは、ソースノード122で始まり、ロ
ーカルエリアネットワーク(LAN)124上をインターネット128へと送信
される。このメッセージは、インターネットへ向かう途中で、この時点でメッセ
ージが「xy01hapQU」と読めるように、VPNルータ126によって暗
号化される。その後、メッセージはインターネット128上を目的地ノード13
4に向かって再送信される。目的地ノードが接続されたLAN132においてメ
ッセージが受信されると、メッセージは、別のVPNルータ130によって復号
化される。その後、復号化されたメッセージは目的地ノード134に転送される
。
図1において言及したOSIモデルの文脈において伝送を示すことに留意された
い。「HELLO」という電子メッセージは、ソースノード122で始まり、ロ
ーカルエリアネットワーク(LAN)124上をインターネット128へと送信
される。このメッセージは、インターネットへ向かう途中で、この時点でメッセ
ージが「xy01hapQU」と読めるように、VPNルータ126によって暗
号化される。その後、メッセージはインターネット128上を目的地ノード13
4に向かって再送信される。目的地ノードが接続されたLAN132においてメ
ッセージが受信されると、メッセージは、別のVPNルータ130によって復号
化される。その後、復号化されたメッセージは目的地ノード134に転送される
。
【0012】
図2から明らかなとおり、暗号化されていないメッセージ(「HELLO」)
のみが、OSIモデルの7層全てを利用することが分かる。すなわち、暗号化さ
れていないメッセージは、受信ノードがノード間に存在する通信ダイアローグの
コンテキスト内でメッセージを監視、翻訳、および利用することができるように
、OSIモデル全体に従って伝送される。しかしながら、VPNルータ(126
および130)に関しては、暗号化されたメッセージは、OSIモデルの最下部
の3層を利用するだけであることが分かる。これは、暗号化されたデータが、O
SIモデルにより規定された、物理層、データリンク層、およびネットワーク層
の基準に準拠しているだけであることを意味する。暗号化および復号化段階は、
接続媒体からの情報および接続媒体への情報の物理的通過、メッセージのノード
からノードへの有効性、および送信側と受信側(本例では、VPNルータ126
および130)との間でメッセージがたどるルートに関連するだけである。
のみが、OSIモデルの7層全てを利用することが分かる。すなわち、暗号化さ
れていないメッセージは、受信ノードがノード間に存在する通信ダイアローグの
コンテキスト内でメッセージを監視、翻訳、および利用することができるように
、OSIモデル全体に従って伝送される。しかしながら、VPNルータ(126
および130)に関しては、暗号化されたメッセージは、OSIモデルの最下部
の3層を利用するだけであることが分かる。これは、暗号化されたデータが、O
SIモデルにより規定された、物理層、データリンク層、およびネットワーク層
の基準に準拠しているだけであることを意味する。暗号化および復号化段階は、
接続媒体からの情報および接続媒体への情報の物理的通過、メッセージのノード
からノードへの有効性、および送信側と受信側(本例では、VPNルータ126
および130)との間でメッセージがたどるルートに関連するだけである。
【0013】
その機能のために、OSIモデルの最下部の3層を利用するだけであるため、
VPNは、紛失データまたは故障したホストに対する冗長なセーフガードの全て
のセットを提供することが不可能である。ネットワークがこれらの問題を検出す
る手段はない。これは、暗号化されたメッセージがトランスポート層(層4)に
規定された基準を利用することを必要とするためである。さらに、単にOSIモ
デルの最下部の3層に依存するだけであるため、VPNは、ネットワーク内の個
々のノードのシステムクラッシュから自動的に復旧することが不可能である。こ
れは、通信パーティ間のダイアローグを管理するためのプロトコルがOSIモデ
ルのセッション層(層5)に存在するためである。よって、ネットワーク内の個
々のノードのクラッシュまたは故障が発生する場合、VPNは、そのクラッシュ
の前に、通信パーティ間の状態を自動的に判定することが不可能である。それゆ
え、VPNは、単に、あるノードから次のノードへの情報の伝送のためのセキュ
アな物理的通路を単に提供するだけである。しかしながら、VPNは、パケット
の紛失、ホストの故障、またはシステムクラッシュ等の種々のネットワークの問
題、もしくはトランザクションの取り消しまたはやり直し等のユーザの要求を補
償することができるセキュアで信頼できるトランザクションサービスを提供しな
い。
VPNは、紛失データまたは故障したホストに対する冗長なセーフガードの全て
のセットを提供することが不可能である。ネットワークがこれらの問題を検出す
る手段はない。これは、暗号化されたメッセージがトランスポート層(層4)に
規定された基準を利用することを必要とするためである。さらに、単にOSIモ
デルの最下部の3層に依存するだけであるため、VPNは、ネットワーク内の個
々のノードのシステムクラッシュから自動的に復旧することが不可能である。こ
れは、通信パーティ間のダイアローグを管理するためのプロトコルがOSIモデ
ルのセッション層(層5)に存在するためである。よって、ネットワーク内の個
々のノードのクラッシュまたは故障が発生する場合、VPNは、そのクラッシュ
の前に、通信パーティ間の状態を自動的に判定することが不可能である。それゆ
え、VPNは、単に、あるノードから次のノードへの情報の伝送のためのセキュ
アな物理的通路を単に提供するだけである。しかしながら、VPNは、パケット
の紛失、ホストの故障、またはシステムクラッシュ等の種々のネットワークの問
題、もしくはトランザクションの取り消しまたはやり直し等のユーザの要求を補
償することができるセキュアで信頼できるトランザクションサービスを提供しな
い。
【0014】
VPNはまた、セキュアなトランザクションを提供するそれらの能力に悪影響
を及ぼす、さらなる欠点を有する。この欠点は、メッセージの暗号化のために利
用されるアルゴリズムおよびキーを自動的に修正および更新するようなネットワ
ークの能力がないことである。
を及ぼす、さらなる欠点を有する。この欠点は、メッセージの暗号化のために利
用されるアルゴリズムおよびキーを自動的に修正および更新するようなネットワ
ークの能力がないことである。
【0015】
それゆえ、公衆ネットワークがトランザクションネットワークとして用いられ
る場合、その公衆ネットワークを介して情報を伝達するための改善された方法に
対する要望がある。
る場合、その公衆ネットワークを介して情報を伝達するための改善された方法に
対する要望がある。
【0016】
(発明の要旨)
それゆえ、上記の不利な点のうちの少なくとも1つを回避または軽減するシス
テムおよび方法を提供することが本発明の1つの目的である。
テムおよび方法を提供することが本発明の1つの目的である。
【0017】
本発明の1つの局面は、パケット交換式通信ネットワークを介してセキュアな
トランザクションを提供する方法であって、隣接するノードにプローブパケット
を伝送する工程、複数の伝送経路の能力を特定するプローブへの複数の応答パケ
ットを受信する工程、およびその応答に基づいて、伝送経路のうちの1つにある
目的地ノードにデータパケットを伝送する工程を含む方法として規定される。
トランザクションを提供する方法であって、隣接するノードにプローブパケット
を伝送する工程、複数の伝送経路の能力を特定するプローブへの複数の応答パケ
ットを受信する工程、およびその応答に基づいて、伝送経路のうちの1つにある
目的地ノードにデータパケットを伝送する工程を含む方法として規定される。
【0018】
本発明の別の局面は、パケット交換式通信ネットワークを介してセキュアなト
ランザクションを提供する方法であって、隣接するノードからプローブを受信す
る工程、目的地ノードではないノードでのプロープの受信に応答して、少なくと
も1つの他の隣接するノードにプローブを転送する工程、プローブが目的地ノー
ドで受信されると、プローブの受信に応答して返信する工程を含む方法として規
定される。
ランザクションを提供する方法であって、隣接するノードからプローブを受信す
る工程、目的地ノードではないノードでのプロープの受信に応答して、少なくと
も1つの他の隣接するノードにプローブを転送する工程、プローブが目的地ノー
ドで受信されると、プローブの受信に応答して返信する工程を含む方法として規
定される。
【0019】
本発明の別の局面は、パケット交換式通信ネットワークを介してセキュアなト
ランザクションを提供する方法であって、暗号化されたデータパケットを受信す
る工程と、現在の暗号キーを用いて、暗号化されたデータパケットを復号する工
程、キー生成アルゴリズムを用いて、現在の暗号キーから新たな暗号キーを導出
する工程、新たな暗号キーを現在の暗号キーとして規定する工程、現在の暗号キ
ーを用いてデータパケットを暗号化する工程、およびデータパケットを隣接する
ノードに伝送する工程を含む方法として規定される。
ランザクションを提供する方法であって、暗号化されたデータパケットを受信す
る工程と、現在の暗号キーを用いて、暗号化されたデータパケットを復号する工
程、キー生成アルゴリズムを用いて、現在の暗号キーから新たな暗号キーを導出
する工程、新たな暗号キーを現在の暗号キーとして規定する工程、現在の暗号キ
ーを用いてデータパケットを暗号化する工程、およびデータパケットを隣接する
ノードに伝送する工程を含む方法として規定される。
【0020】
本発明の別の局面は、複数のデータパケットを含む電子トランザクションメッ
セージを伝送する方法であって、複数のデータパケットの各々に、タイムスタン
プおよびメッセージ識別番号のうちの少なくとも1つを加える工程、電子トラン
ザクションデータベースにデータパケットの各々の一部を格納する工程、加えら
れたタイムスタンプおよびメッセージ識別番号のうちの少なくとも1つを用いて
、電子トランザクションデータベースの以前の状態を復旧する工程を含む方法と
して規定される。
セージを伝送する方法であって、複数のデータパケットの各々に、タイムスタン
プおよびメッセージ識別番号のうちの少なくとも1つを加える工程、電子トラン
ザクションデータベースにデータパケットの各々の一部を格納する工程、加えら
れたタイムスタンプおよびメッセージ識別番号のうちの少なくとも1つを用いて
、電子トランザクションデータベースの以前の状態を復旧する工程を含む方法と
して規定される。
【0021】
本発明のこれらおよび他の特徴は、添付の図面を参照する以下の説明からより
明白になる。
明白になる。
【0022】
(発明の詳細な説明)
本発明は管理のないセキュアでない通信ネットワーク上にセキュアかつ確実な
トランザクションを提供するための方法およびシステムに関する。
トランザクションを提供するための方法およびシステムに関する。
【0023】
図3に、管理のないセキュアでない通信ネットワーク上にセキュアなトランザ
クションを提供するためのシステムの模式的な代表例を示す。以下、システムは
バーチャルトランザクションネットワーク(VXN)と称される。図3に示すよ
うに、VXN300は、複数のコンピュータまたはノードから構成され、これら
はパケット交換式の通信ネットワーク上で相互に接続される。VXNシステムに
おいて利用されるノードはマスターノードと称される。マスターノード内で利用
される構成要素は、以下にさらに詳細に記載される。再び図3を参照すると、V
XNが6マスターノード(301、302、303、304、305および30
6)を含むことがわかり得る。図3はまた、トランザクションサーバ308およ
びユーザインタフェース310を示す。これらは、それぞれマスターノード30
3および305にゲートウェイ314および316を介して結合される。これら
の構成要素はまた、以下に詳細に記載される。
クションを提供するためのシステムの模式的な代表例を示す。以下、システムは
バーチャルトランザクションネットワーク(VXN)と称される。図3に示すよ
うに、VXN300は、複数のコンピュータまたはノードから構成され、これら
はパケット交換式の通信ネットワーク上で相互に接続される。VXNシステムに
おいて利用されるノードはマスターノードと称される。マスターノード内で利用
される構成要素は、以下にさらに詳細に記載される。再び図3を参照すると、V
XNが6マスターノード(301、302、303、304、305および30
6)を含むことがわかり得る。図3はまた、トランザクションサーバ308およ
びユーザインタフェース310を示す。これらは、それぞれマスターノード30
3および305にゲートウェイ314および316を介して結合される。これら
の構成要素はまた、以下に詳細に記載される。
【0024】
図3はまた、VXN内の種々のノードを示し、これらはインターネット312
上で相互に接続される。しかし、VXNはインターネットで接続されることに限
定されない、したがって、いずれのパブリックなパケット交換式ネットワークま
たはプライベートおよびパブリックなパケット交換式ネットワークにも適用され
得る。
上で相互に接続される。しかし、VXNはインターネットで接続されることに限
定されない、したがって、いずれのパブリックなパケット交換式ネットワークま
たはプライベートおよびパブリックなパケット交換式ネットワークにも適用され
得る。
【0025】
VXNによって提供されるサービスを有効にするために、エンドユーザはまず
ネットワークと通信できなければならない。エンドユーザは、このタスクを行う
ためにVXN中のマスターノード306のうちの1つにゲートウェイ314を介
して結合されるユーザインタフェース310を利用する。当業者にとって明らか
なように、ゲートウェイはネットワークに対して入口または出口ポイントとして
機能するデバイスである。なお、また、VXNシステムにアクセスするための図
示のユーザインタフェースはコンピュータ端末310であるが、本発明はこれに
限定されないことを留意されたい。エンドユーザは、ラップトップ、スマート端
末、情報携帯端末、インターネット対応電話、遠隔通信スイッチ、ワールドワイ
ドウェッブサーバ、または他の同様のインタフェースを含む多くの異なるデバイ
スを使用して従来と全く同程度に容易にVXNにアクセスする。さらに、なお、
上記のユーザインタフェースおよびゲートウェイは、図3に示す対応のマスター
と物理的に異なる必要はない。これらの構成要素は、容易にマスターノード自体
に組み込まれ得る。
ネットワークと通信できなければならない。エンドユーザは、このタスクを行う
ためにVXN中のマスターノード306のうちの1つにゲートウェイ314を介
して結合されるユーザインタフェース310を利用する。当業者にとって明らか
なように、ゲートウェイはネットワークに対して入口または出口ポイントとして
機能するデバイスである。なお、また、VXNシステムにアクセスするための図
示のユーザインタフェースはコンピュータ端末310であるが、本発明はこれに
限定されないことを留意されたい。エンドユーザは、ラップトップ、スマート端
末、情報携帯端末、インターネット対応電話、遠隔通信スイッチ、ワールドワイ
ドウェッブサーバ、または他の同様のインタフェースを含む多くの異なるデバイ
スを使用して従来と全く同程度に容易にVXNにアクセスする。さらに、なお、
上記のユーザインタフェースおよびゲートウェイは、図3に示す対応のマスター
と物理的に異なる必要はない。これらの構成要素は、容易にマスターノード自体
に組み込まれ得る。
【0026】
一旦ユーザがシステムの利用を決めると、VXNはエンドユーザとトランザク
ションサーバ308との間で情報を通信できなければならない。トランザクショ
ンサーバは、VXNシステムによって提供されるネットワークリソースを管理す
るネットワーク上のコンピュータまたはデバイスである。典型的には、サーバは
、サーバの種々の機能を実行するためのCPUおよびサーバの実行に必要な情報
を格納するための格納デバイスから構成される。例えば、航空サービスを提供す
るVXNの場合、トランザクションサーバは、以下の多くの機能を実行する:利
用し得る航空便についての情報提供、 航空便の予約、および電子チケットの提
供、これらはほんの一例である。当業者にとって明らかなように、トランザクシ
ョンサーバは、上記のようにゲートウェイ316を介してマスターノードに接続
され得る。本発明の好ましい実施形態において、上記のトランザクションサーバ
はまた請求のための会計手段を含む。
ションサーバ308との間で情報を通信できなければならない。トランザクショ
ンサーバは、VXNシステムによって提供されるネットワークリソースを管理す
るネットワーク上のコンピュータまたはデバイスである。典型的には、サーバは
、サーバの種々の機能を実行するためのCPUおよびサーバの実行に必要な情報
を格納するための格納デバイスから構成される。例えば、航空サービスを提供す
るVXNの場合、トランザクションサーバは、以下の多くの機能を実行する:利
用し得る航空便についての情報提供、 航空便の予約、および電子チケットの提
供、これらはほんの一例である。当業者にとって明らかなように、トランザクシ
ョンサーバは、上記のようにゲートウェイ316を介してマスターノードに接続
され得る。本発明の好ましい実施形態において、上記のトランザクションサーバ
はまた請求のための会計手段を含む。
【0027】
図3にはただ1つだけのトランザクションサーバ308が示されるが、本発明
は異なるサービスを提供する多くの異なるトランザクションサーバを容易に含み
得る。複数のトランザクションサーバの場合、VXNはエンドユーザによって選
択されたサービスに基づいて適切なサーバへメッセージをルーティングする。同
様に、1つのトランザクションの種々の部分を異なるサーバへ必要に応じて配布
し得る。再び航空会社キオスクの例を使用すると、トランザクションの1部はチ
ケットを探すために航空会社サーバにルーティングされ、他方トランザクション
の第2の部分はチケットを購入するためにクレジットカードサーバにルーティン
グされる。
は異なるサービスを提供する多くの異なるトランザクションサーバを容易に含み
得る。複数のトランザクションサーバの場合、VXNはエンドユーザによって選
択されたサービスに基づいて適切なサーバへメッセージをルーティングする。同
様に、1つのトランザクションの種々の部分を異なるサーバへ必要に応じて配布
し得る。再び航空会社キオスクの例を使用すると、トランザクションの1部はチ
ケットを探すために航空会社サーバにルーティングされ、他方トランザクション
の第2の部分はチケットを購入するためにクレジットカードサーバにルーティン
グされる。
【0028】
また、なお、図3はトランザクションサーバ308を1つのコンピュータとし
て図示するが、本発明はこれに限定されないことに留意されたい。むしろ、サー
バは、上記のトランザクションサーバ機能を提供するための相互に結合された多
くのネットワークまたはコンピュータから構成され得る。
て図示するが、本発明はこれに限定されないことに留意されたい。むしろ、サー
バは、上記のトランザクションサーバ機能を提供するための相互に結合された多
くのネットワークまたはコンピュータから構成され得る。
【0029】
再び図3を参照すると、トランザクションサーバ308がその対応のマスター
ノードと物理的に異なるように示されることがわかり得る。しかし、なお、これ
は純粋に実証の目的のものであって、マスターノードおよびその対応のトランザ
クションサーバの機能は1つのコンピューティングデバイスによって容易に実行
され得ることに留意されたい。
ノードと物理的に異なるように示されることがわかり得る。しかし、なお、これ
は純粋に実証の目的のものであって、マスターノードおよびその対応のトランザ
クションサーバの機能は1つのコンピューティングデバイスによって容易に実行
され得ることに留意されたい。
【0030】
マスターノード301、302、303、304、305および306はVX
Nシステムのコアを形成する。マスターノードは、トランザクションサーバ30
8と同様に、CPUおよび関連格納デバイスサーバから構成されるサーバである
。好ましい実施形態において、マスターノードは物理的にセキュアな場所に格納
される。このことはマスターノードが十分かつ確実な冷却、バックアップ電源お
よび物理的なセキュアが提供されるような場所に格納されることを意味する。マ
スターノードは、以下に概略を示すVXNの動作に関連した種々の機能を実行す
る。
Nシステムのコアを形成する。マスターノードは、トランザクションサーバ30
8と同様に、CPUおよび関連格納デバイスサーバから構成されるサーバである
。好ましい実施形態において、マスターノードは物理的にセキュアな場所に格納
される。このことはマスターノードが十分かつ確実な冷却、バックアップ電源お
よび物理的なセキュアが提供されるような場所に格納されることを意味する。マ
スターノードは、以下に概略を示すVXNの動作に関連した種々の機能を実行す
る。
【0031】
まず、各マスターノードは、VXN上での送信のため電子メッセージをパケッ
ト化し、そして受信されたパケット化メッセージ組み立て得る。なお、メッセー
ジのパケット化のプロセスは典型的には電子メッセージを受信する送信路の第1
のノード中で起こる。同様に、パケット化メッセージの組み立てプロセスは典型
的には送信路の最終ノードのみで起こる(すなわち、目的地トランザクションサ
ーバに接続されたマスターノード)。データパケットをルーティングするための
送信路を決定することの概念は図5を参照して以下に詳細に記載される。しかし
、なお、どのマスターノードもパケット化および組み立て機能を実行し得る必要
があるわけではない。送信路中の中間マスターノードは、この機能を必要としな
い。なぜなら、中間マスターノードは個々のデータパケットを受信および送信す
るだけだからである。しかし、本発明の好ましい実施形態において、各マスター
ノードはこれら機能が可能であるので、これら中間のノードは必要に応じてトラ
ンザクションまたはクライアントノードとなり得る。パケット化および組み立て
のプロセスはパケット交換式のネットワーク通信の当業者に周知である。
ト化し、そして受信されたパケット化メッセージ組み立て得る。なお、メッセー
ジのパケット化のプロセスは典型的には電子メッセージを受信する送信路の第1
のノード中で起こる。同様に、パケット化メッセージの組み立てプロセスは典型
的には送信路の最終ノードのみで起こる(すなわち、目的地トランザクションサ
ーバに接続されたマスターノード)。データパケットをルーティングするための
送信路を決定することの概念は図5を参照して以下に詳細に記載される。しかし
、なお、どのマスターノードもパケット化および組み立て機能を実行し得る必要
があるわけではない。送信路中の中間マスターノードは、この機能を必要としな
い。なぜなら、中間マスターノードは個々のデータパケットを受信および送信す
るだけだからである。しかし、本発明の好ましい実施形態において、各マスター
ノードはこれら機能が可能であるので、これら中間のノードは必要に応じてトラ
ンザクションまたはクライアントノードとなり得る。パケット化および組み立て
のプロセスはパケット交換式のネットワーク通信の当業者に周知である。
【0032】
次に、各マスターノードは、メッセージパケットを送信してVXNによって決
定された送信路に基づいてノードを調節するためのルータとして機能する。本発
明の好ましい実施形態において、メッセージパケットの送受信のための種々の工
程の概略を記載するフローチャートを、以下に図5Aおよび5Bを参照して詳細
に記載する。
定された送信路に基づいてノードを調節するためのルータとして機能する。本発
明の好ましい実施形態において、メッセージパケットの送受信のための種々の工
程の概略を記載するフローチャートを、以下に図5Aおよび5Bを参照して詳細
に記載する。
【0033】
マスターノードの送受信機能の一部として、各マスターは、さらに多くの関連
機能を実行し得る。例えば、メッセージパケットを送信する場合、各マスターノ
ードはチェックサムおよびユニークなメッセージIDを各データパケットに添付
または含め得る。当業者にとって明らかなように、チェックサムを利用してパケ
ットの送信後の全体の正当性を確実にする。他方、メッセージIDはデータパケ
ットが元の電子メッセージの一部であることを識別する。
機能を実行し得る。例えば、メッセージパケットを送信する場合、各マスターノ
ードはチェックサムおよびユニークなメッセージIDを各データパケットに添付
または含め得る。当業者にとって明らかなように、チェックサムを利用してパケ
ットの送信後の全体の正当性を確実にする。他方、メッセージIDはデータパケ
ットが元の電子メッセージの一部であることを識別する。
【0034】
これらの送信機能および受信機能に関連するマスターノードの別の能力は、送
信および受信されたデータパケットを格納する能力である。データパケットをそ
のメッセージIDと共に格納する目的は、システムに不具合が発生した場合にす
ぐにネットワークを確認して、ネットワークの状態を戻すことである。これは、
上記の情報を時間スタンプと共に格納することによって達成される。この機能を
行うことにより、VXNは、1つ以上のマスターノードが紛失してもネットワー
クの完全性に影響が出ないことを確実にする。以下、システムがクラッシュした
後に行われるVXNの更新についてさらに詳細に説明する。
信および受信されたデータパケットを格納する能力である。データパケットをそ
のメッセージIDと共に格納する目的は、システムに不具合が発生した場合にす
ぐにネットワークを確認して、ネットワークの状態を戻すことである。これは、
上記の情報を時間スタンプと共に格納することによって達成される。この機能を
行うことにより、VXNは、1つ以上のマスターノードが紛失してもネットワー
クの完全性に影響が出ないことを確実にする。以下、システムがクラッシュした
後に行われるVXNの更新についてさらに詳細に説明する。
【0035】
VXNは、データパケットのコピーおよびその対応するメッセージIDを格納
することにより、トランザクションネットワークを介した各トランザクションが
1回だけ行われることも確実にすることができる。これは、特定の時間帯におい
て受信される同じデータパケットの複数回の送信を識別および捨象することによ
って、達成される。VXNは、同じエンドユーザが特定の時間帯において同じ機
能を複数回にわたって要求した場合に同じメッセージIDをデータパケットに添
付するだけで、これを達成する。VXNを組み込んだバンキングサービスにおい
てこのようなことができれば、同一のトランザクションが行われている間に1人
のエンドユーザへの請求が不必要に重複する事態が避けられるため、これは重要
な特徴である。
することにより、トランザクションネットワークを介した各トランザクションが
1回だけ行われることも確実にすることができる。これは、特定の時間帯におい
て受信される同じデータパケットの複数回の送信を識別および捨象することによ
って、達成される。VXNは、同じエンドユーザが特定の時間帯において同じ機
能を複数回にわたって要求した場合に同じメッセージIDをデータパケットに添
付するだけで、これを達成する。VXNを組み込んだバンキングサービスにおい
てこのようなことができれば、同一のトランザクションが行われている間に1人
のエンドユーザへの請求が不必要に重複する事態が避けられるため、これは重要
な特徴である。
【0036】
したがって、システムのクラッシュが発生した直後にネットワークの状態を回
復させることを可能にするために、各マスターは、VXNをロックして、システ
ム更新を行うことができる。システム更新とは、更新を担当するマスターが、V
XN内の他の各マスターにフラグを設定して、自身が行おうとしているシステム
更新以外にシステム更新が行われないようにするプロセスのことである。その後
、マスターは、これらの他のマスターに、システムの不具合が発生する直前の時
点に動作を「巻き戻す」ように命令する。これは、様々なマスターノードに格納
される上記の時間スタンプ、メッセージIDおよびデータパケットによって達成
される。従って、このタスクを行うことにより、(単数または複数の)ノードが
紛失した場合にでもシステムを動作させ続けることが可能となる。本発明の好適
な実施形態において、マスターの更新期限が過ぎた場合、そのマスターから、デ
ータパケット、時間スタンプおよびメッセージIDなどの情報を定期的にパージ
する。例えば、上記の情報をT秒ごとにパージしてもよい(Tは、ネットワーク
において予測される最長待ち時間である)。例えば、システムの不具合が発生し
た後にマスターを再開させる場合、そのマスターは、当該システムがクラッシュ
する前に自身が入手したロック全てを解除する能力を有していなければならない
。これにより、他のマスターが、VXN中の残りのノード(特に、不具合を起こ
したノード)を更新できるようになる。
復させることを可能にするために、各マスターは、VXNをロックして、システ
ム更新を行うことができる。システム更新とは、更新を担当するマスターが、V
XN内の他の各マスターにフラグを設定して、自身が行おうとしているシステム
更新以外にシステム更新が行われないようにするプロセスのことである。その後
、マスターは、これらの他のマスターに、システムの不具合が発生する直前の時
点に動作を「巻き戻す」ように命令する。これは、様々なマスターノードに格納
される上記の時間スタンプ、メッセージIDおよびデータパケットによって達成
される。従って、このタスクを行うことにより、(単数または複数の)ノードが
紛失した場合にでもシステムを動作させ続けることが可能となる。本発明の好適
な実施形態において、マスターの更新期限が過ぎた場合、そのマスターから、デ
ータパケット、時間スタンプおよびメッセージIDなどの情報を定期的にパージ
する。例えば、上記の情報をT秒ごとにパージしてもよい(Tは、ネットワーク
において予測される最長待ち時間である)。例えば、システムの不具合が発生し
た後にマスターを再開させる場合、そのマスターは、当該システムがクラッシュ
する前に自身が入手したロック全てを解除する能力を有していなければならない
。これにより、他のマスターが、VXN中の残りのノード(特に、不具合を起こ
したノード)を更新できるようになる。
【0037】
VXNにセキュリティ手段を提供するために、各マスターノードは、パターン
を暗号化する能力も持っていなければならない。本発明の好適な実施形態におい
て用いられる暗号アルゴリズムについても、図5Aおよび図5B中のフローチャ
ートを用いて説明する。この暗号化プロセスを有効にするために、マスターノー
ドは、一連の暗号化再開(re−star)キーおよび暗号化アルゴリズムでプ
ログラムされている。これらの暗号化再開キーおよび暗号化アルゴリズムは、そ
れぞれの関連する格納デバイスに格納される。これらの暗号化再開キーは、暗号
化プロセスを開始するために用いられる。暗号化プロセスは、データパケットの
暗号化において用いられる連続する暗号キーをそれぞれ定義するように設計され
る。このようにして、動的に変化する暗号化システムを提供し、これにより、セ
キュリティのレベルをさらに高める。例えば、コンピュータハッカーが暗号パケ
ットを傍受して、その暗号パケットの対応する暗号キーを突き止めた場合を仮定
する。その場合、その暗号キーは、その特定のパケットの解読のみを可能にする
。これが可能なのは、次のパケットは、先行するキーから導出された別のキーを
用いて暗号化されるからである。この暗号キーを導出するプロセスは、キー生成
アルゴリズムを用いることによって行われる。従って、メッセージ全体を解読す
るためには、先ずその特定のメッセージのパケット全てを確認および収集してか
ら、残りのパケットの暗号化に用いられた基礎となる暗号化アルゴリズムを判定
しなければならない。これは、1つの暗号キーを確認するよりも明らかに困難な
作業である。
を暗号化する能力も持っていなければならない。本発明の好適な実施形態におい
て用いられる暗号アルゴリズムについても、図5Aおよび図5B中のフローチャ
ートを用いて説明する。この暗号化プロセスを有効にするために、マスターノー
ドは、一連の暗号化再開(re−star)キーおよび暗号化アルゴリズムでプ
ログラムされている。これらの暗号化再開キーおよび暗号化アルゴリズムは、そ
れぞれの関連する格納デバイスに格納される。これらの暗号化再開キーは、暗号
化プロセスを開始するために用いられる。暗号化プロセスは、データパケットの
暗号化において用いられる連続する暗号キーをそれぞれ定義するように設計され
る。このようにして、動的に変化する暗号化システムを提供し、これにより、セ
キュリティのレベルをさらに高める。例えば、コンピュータハッカーが暗号パケ
ットを傍受して、その暗号パケットの対応する暗号キーを突き止めた場合を仮定
する。その場合、その暗号キーは、その特定のパケットの解読のみを可能にする
。これが可能なのは、次のパケットは、先行するキーから導出された別のキーを
用いて暗号化されるからである。この暗号キーを導出するプロセスは、キー生成
アルゴリズムを用いることによって行われる。従って、メッセージ全体を解読す
るためには、先ずその特定のメッセージのパケット全てを確認および収集してか
ら、残りのパケットの暗号化に用いられた基礎となる暗号化アルゴリズムを判定
しなければならない。これは、1つの暗号キーを確認するよりも明らかに困難な
作業である。
【0038】
その上、暗号キーおよび暗号化アルゴリズムは、権限が付与されていないユー
ザによって突きとめられた場合にも、VXNに新しいキーを取り付けて、新しい
アルゴリズムおよび一連の再開キーを生成して、セキュリティの破壊がこれ以上
行われないようにすることも可能である。この暗号化アルゴリズムまたは再開キ
ーを変更するプロセスは、上記のシステム更新プロシージャの一環として行われ
る。
ザによって突きとめられた場合にも、VXNに新しいキーを取り付けて、新しい
アルゴリズムおよび一連の再開キーを生成して、セキュリティの破壊がこれ以上
行われないようにすることも可能である。この暗号化アルゴリズムまたは再開キ
ーを変更するプロセスは、上記のシステム更新プロシージャの一環として行われ
る。
【0039】
最後に、各マスターノードは、ネットワークを介して「ダミー」パケットを定
期的に送信する能力を有する。ダミーパケットは、正規のデータパケットと外見
上は同じであり、マスターノードからトランザクションノードへの経路の容量を
決定する目的のために送信される。このダミートランザクション機能は、当該分
野において公知のPING(Packet Internet Gropper
)機能と同じではない点に留意されたい。PING機能では、特定のIPアドレ
スについて物理的接続が存在するか否かを判定するだけである。それとは対照的
に、本明細書において用いられるダミーパケットは、完全なトランザクションで
ある。従って、このダミー機能を用いれば、VXN中の特定の経路の送信および
演算の待ち時間の全体的大きさが分かる。従って、このダミープロセスは、OS
Iモデルの7つの層全体を網羅する。これは、PING機能が下位の3層のみし
か網羅しないのに比べて優れた機能である。本発明の好適な実施形態において、
マスターは、ランダムに選択されたアウトバウンドエッジを介してダミーパケッ
トをトランザクションノードに送って返答を待つことにより、ダミー機能を行う
。本明細書中、以下、「エッジ」という用語を、2つの隣接するノードの間の通
信リンクとして定義する。その後、トランザクションノードから、送信側のマス
ターノードに返答が送られ、これにより、特定の経路の容量に関する情報が送信
側に提供される。以下、本発明の好適な実施形態におけるダミー機能を行う方法
について、図4を参照して説明する。当業者に明らかなように、特定のネットワ
ーク経路の「適合度」の容量は、利用可能なスループット、応答時間および経路
信頼性の大きさである。同様に、応答が無い場合、それは、特定のノードまたは
リンクが機能していないことをVXNに通知するものである。
期的に送信する能力を有する。ダミーパケットは、正規のデータパケットと外見
上は同じであり、マスターノードからトランザクションノードへの経路の容量を
決定する目的のために送信される。このダミートランザクション機能は、当該分
野において公知のPING(Packet Internet Gropper
)機能と同じではない点に留意されたい。PING機能では、特定のIPアドレ
スについて物理的接続が存在するか否かを判定するだけである。それとは対照的
に、本明細書において用いられるダミーパケットは、完全なトランザクションで
ある。従って、このダミー機能を用いれば、VXN中の特定の経路の送信および
演算の待ち時間の全体的大きさが分かる。従って、このダミープロセスは、OS
Iモデルの7つの層全体を網羅する。これは、PING機能が下位の3層のみし
か網羅しないのに比べて優れた機能である。本発明の好適な実施形態において、
マスターは、ランダムに選択されたアウトバウンドエッジを介してダミーパケッ
トをトランザクションノードに送って返答を待つことにより、ダミー機能を行う
。本明細書中、以下、「エッジ」という用語を、2つの隣接するノードの間の通
信リンクとして定義する。その後、トランザクションノードから、送信側のマス
ターノードに返答が送られ、これにより、特定の経路の容量に関する情報が送信
側に提供される。以下、本発明の好適な実施形態におけるダミー機能を行う方法
について、図4を参照して説明する。当業者に明らかなように、特定のネットワ
ーク経路の「適合度」の容量は、利用可能なスループット、応答時間および経路
信頼性の大きさである。同様に、応答が無い場合、それは、特定のノードまたは
リンクが機能していないことをVXNに通知するものである。
【0040】
VXNシステムにおいて、各マスターノードは、最終メッセージが受信されて
から閾値時間が経過するたびに、「ダミー」機能を行う。例えば、あるインカン
ベント(incumbent)エッジについての往復遅延時間について予測され
る上限値を超えるたびに、ダミートランザクションを送ることが可能である。こ
の往復遅延時間は、当該分野において周知である。従って、VXNは、ダミー機
能を定期的間隔で行って、これにより、インターネットのネットワーク容量の変
動に動的に応答する。その結果、VXNは、パケット送信を、最も低コストでか
つ混雑の少ない経路に従って、様々な経路を介して連続的に行うことが可能とな
る。各パケットが様々な経路をとることができるため、VXNは、自身のネット
ワークトラフィックの混雑レベルのバランスを最適にし、それと同時に、メッセ
ージ全体の傍受をより困難にすることができる。
から閾値時間が経過するたびに、「ダミー」機能を行う。例えば、あるインカン
ベント(incumbent)エッジについての往復遅延時間について予測され
る上限値を超えるたびに、ダミートランザクションを送ることが可能である。こ
の往復遅延時間は、当該分野において周知である。従って、VXNは、ダミー機
能を定期的間隔で行って、これにより、インターネットのネットワーク容量の変
動に動的に応答する。その結果、VXNは、パケット送信を、最も低コストでか
つ混雑の少ない経路に従って、様々な経路を介して連続的に行うことが可能とな
る。各パケットが様々な経路をとることができるため、VXNは、自身のネット
ワークトラフィックの混雑レベルのバランスを最適にし、それと同時に、メッセ
ージ全体の傍受をより困難にすることができる。
【0041】
本発明の好適な実施形態において、ノード間の経路の選択は、当該ネットワー
ク中の全経路の容量に応じて、擬似乱数を用いて行われる。あるエッジが送信経
路として選択される確率は、そのエッジと、送信先のマスターノード(すなわち
、要求元のトランザクションサーバにリンクされたマスターノード)にリンクさ
れた他の全てのエッジとの間の相対的適合度に比例する。以下、この収集アルゴ
リズムにおいて用いられる情報の容量を入手する方法について、図4に示すフロ
ーチャートを参照してさらに説明する。しかし、当業者にとって明らかなように
、本発明は、収集アルゴリズムの使用に限定されるものではなく、本発明におい
て、他の当該分野において公知の経路設定アルゴリズム(ダム(dumb)ルー
ティングまたはフラッド(flood)ルーティングなど)も容易に用いること
が可能である。
ク中の全経路の容量に応じて、擬似乱数を用いて行われる。あるエッジが送信経
路として選択される確率は、そのエッジと、送信先のマスターノード(すなわち
、要求元のトランザクションサーバにリンクされたマスターノード)にリンクさ
れた他の全てのエッジとの間の相対的適合度に比例する。以下、この収集アルゴ
リズムにおいて用いられる情報の容量を入手する方法について、図4に示すフロ
ーチャートを参照してさらに説明する。しかし、当業者にとって明らかなように
、本発明は、収集アルゴリズムの使用に限定されるものではなく、本発明におい
て、他の当該分野において公知の経路設定アルゴリズム(ダム(dumb)ルー
ティングまたはフラッド(flood)ルーティングなど)も容易に用いること
が可能である。
【0042】
したがって、上述のこのVXNシステムは、複数の理由から、従来技術におい
て公知のVPNに代わる改良品である。第一に、VXNは、図1に示すOSIモ
デルの7つの層すべてにわたる。これは、基底のパケット交換式ネットワークお
よびVXN自体における変化する現実を学び、それに適合する、分散されたマル
チプロセッサマシーンとして、VXNが機能することを意味する。さらに、この
システムは、データパケットを伝送するための、動的に変化し、かつ適合的な暗
号化アルゴリズムを提供するため、より優れたセキュリティ手段を提供する。V
XNも、擬似のランダムな方式で、サーバノードにデータを伝送することによっ
て、さらなるセキュリティ手段を提供する。最後に、このシステムにより、特定
のノードで伝送かつ受信される種々のメッセージを、メッセージIDおよび時間
スタンプとともに記録することによって、ネットワークが、失われたデータ、故
障したホストまたはシステムのクラッシュを回復することが可能になるという点
で、このシステムはVPNより優れている。
て公知のVPNに代わる改良品である。第一に、VXNは、図1に示すOSIモ
デルの7つの層すべてにわたる。これは、基底のパケット交換式ネットワークお
よびVXN自体における変化する現実を学び、それに適合する、分散されたマル
チプロセッサマシーンとして、VXNが機能することを意味する。さらに、この
システムは、データパケットを伝送するための、動的に変化し、かつ適合的な暗
号化アルゴリズムを提供するため、より優れたセキュリティ手段を提供する。V
XNも、擬似のランダムな方式で、サーバノードにデータを伝送することによっ
て、さらなるセキュリティ手段を提供する。最後に、このシステムにより、特定
のノードで伝送かつ受信される種々のメッセージを、メッセージIDおよび時間
スタンプとともに記録することによって、ネットワークが、失われたデータ、故
障したホストまたはシステムのクラッシュを回復することが可能になるという点
で、このシステムはVPNより優れている。
【0043】
図4Aおよび4Bは、ダミー機能を実行する際に、マスターノードが取る方法
の工程のフローチャートを提示する。図3に関して上述したように、ダミー機能
は、マスターが目的地トランザクションサーバに、ダミーパケットの情報を送信
し、返答を待つプロセスである。目的地トランザクションに送信される「ダミー
」パケットを、以後「プローブ」と呼ぶ。同様に、このようなプローブに対する
返答を、以後「応答」と呼ぶ。
の工程のフローチャートを提示する。図3に関して上述したように、ダミー機能
は、マスターが目的地トランザクションサーバに、ダミーパケットの情報を送信
し、返答を待つプロセスである。目的地トランザクションに送信される「ダミー
」パケットを、以後「プローブ」と呼ぶ。同様に、このようなプローブに対する
返答を、以後「応答」と呼ぶ。
【0044】
ここで図4Aを参照すると、プローブを受信した際に、ノードが取る方法の工
程のフローチャートが提示されている。この方法は、プローブがノードで受信さ
れる、工程400で開始する。次いで、工程402において、受信ノードは、受
信ノードが、プローブが送信される目的地トランザクションノードであるか否か
を判定する。受信ノードが目的地ノードでない場合、工程404において、プロ
ーブの複製および関連した時間スタンプが、そのノード内に格納される。パケッ
トがノード内に時間スタンプと共に格納されると、パケットは「エンキュー」さ
れる。プローブをエンキューした後、次いで、工程405において、受信ノード
は、プローブを複製し、関連したアウトバウンドエッジのそれぞれにわたってプ
ローブを伝送する。例えば、図3を参照して、ノード304向けのプローブはノ
ード302で受信され、プローブの複製は、ノード304および305の両方に
送信されることが見受けられる。
程のフローチャートが提示されている。この方法は、プローブがノードで受信さ
れる、工程400で開始する。次いで、工程402において、受信ノードは、受
信ノードが、プローブが送信される目的地トランザクションノードであるか否か
を判定する。受信ノードが目的地ノードでない場合、工程404において、プロ
ーブの複製および関連した時間スタンプが、そのノード内に格納される。パケッ
トがノード内に時間スタンプと共に格納されると、パケットは「エンキュー」さ
れる。プローブをエンキューした後、次いで、工程405において、受信ノード
は、プローブを複製し、関連したアウトバウンドエッジのそれぞれにわたってプ
ローブを伝送する。例えば、図3を参照して、ノード304向けのプローブはノ
ード302で受信され、プローブの複製は、ノード304および305の両方に
送信されることが見受けられる。
【0045】
一方、受信ノードが目的地ノードである場合、次いで、工程406において、
このノードは、受信されたプローブの出所である隣接ノードに応答を送信する。
この応答が、プローブを送信したノードによって受信されると、次いで、送信ノ
ードは、プローブが取る特定のパスの容量を知る。工程408において、応答の
複製は、上述の更新を目的として、受信ノード内でエンキューされる。
このノードは、受信されたプローブの出所である隣接ノードに応答を送信する。
この応答が、プローブを送信したノードによって受信されると、次いで、送信ノ
ードは、プローブが取る特定のパスの容量を知る。工程408において、応答の
複製は、上述の更新を目的として、受信ノード内でエンキューされる。
【0046】
図4Bを参照して、ノードが応答を受信した後の工程を提示するフローチャー
トを示す。この方法は、受信ノードが、受信された応答と関連したプローブがノ
ード内でエンキューされるか否かを判定する、工程408で開始する。関連した
プローブが存在しない場合、工程410において、この応答は単に破棄される。
関連したプローブが存在することを検証すると、方法は、受信ノードが、受信ノ
ードがプローブを生成したノードであるか否かを判定する、工程412に進む。
受信ノードが生成ノードでない場合、工程414において、受信ノードは、プロ
ーブのエンキューを解除する。プローブのエンキューを解除した後、工程416
において、受信ノードは、受信された元のプローブの出所である隣接ノードに応
答を転送する。最後に、工程418において、応答の複製が、受信ノード内でエ
ンキューされる。
トを示す。この方法は、受信ノードが、受信された応答と関連したプローブがノ
ード内でエンキューされるか否かを判定する、工程408で開始する。関連した
プローブが存在しない場合、工程410において、この応答は単に破棄される。
関連したプローブが存在することを検証すると、方法は、受信ノードが、受信ノ
ードがプローブを生成したノードであるか否かを判定する、工程412に進む。
受信ノードが生成ノードでない場合、工程414において、受信ノードは、プロ
ーブのエンキューを解除する。プローブのエンキューを解除した後、工程416
において、受信ノードは、受信された元のプローブの出所である隣接ノードに応
答を転送する。最後に、工程418において、応答の複製が、受信ノード内でエ
ンキューされる。
【0047】
受信ノードが、プローブを生成したノードである場合、工程420において、
ノードは、プローブが取る目的地ノードへのパスの容量を更新する。本発明の好
適な実施形態において、容量判定は、当業者に周知の指数平均アルゴリズムによ
って実行される。更新を実行した後、工程422において、受信ノードは、元の
プローブのエンキューを解除して、次いで、エンキューが解除されて、方法が終
了する。
ノードは、プローブが取る目的地ノードへのパスの容量を更新する。本発明の好
適な実施形態において、容量判定は、当業者に周知の指数平均アルゴリズムによ
って実行される。更新を実行した後、工程422において、受信ノードは、元の
プローブのエンキューを解除して、次いで、エンキューが解除されて、方法が終
了する。
【0048】
図5Aおよび図5Bは、それぞれメッセージを伝送し、パケットを受信する際
に、マスターノードが取る方法の工程のフローチャートを提示する。図5Aから
始めると、メッセージが指定の時間内に受信されたか否かを伝送ノードが判定す
る、メッセージを伝送する方法が、工程500で開始する。この工程は、ノード
が初期化される際に開始するマスターノードのCPU内のクロックを利用するこ
とによって実行される。工程502に進んで、メッセージが指定の時間内に受信
されなかった場合、伝送ノードは、ランダムに選択されたアウトバウンドエッジ
にわたって、「ダミー」パケットを送信することによって、伝送ノードへのパス
の容量を判定する。「ダミー」機能の一部として、伝送ノードは、次の「ダミー
」パケットが送信されるときを規定する時間をリセットする。しかし、メッセー
ジが指定された時間内に受信された場合、伝送マスターノードは、ノードが受信
されたメッセージ504をパケット化する、方法の次の工程に進む。
に、マスターノードが取る方法の工程のフローチャートを提示する。図5Aから
始めると、メッセージが指定の時間内に受信されたか否かを伝送ノードが判定す
る、メッセージを伝送する方法が、工程500で開始する。この工程は、ノード
が初期化される際に開始するマスターノードのCPU内のクロックを利用するこ
とによって実行される。工程502に進んで、メッセージが指定の時間内に受信
されなかった場合、伝送ノードは、ランダムに選択されたアウトバウンドエッジ
にわたって、「ダミー」パケットを送信することによって、伝送ノードへのパス
の容量を判定する。「ダミー」機能の一部として、伝送ノードは、次の「ダミー
」パケットが送信されるときを規定する時間をリセットする。しかし、メッセー
ジが指定された時間内に受信された場合、伝送マスターノードは、ノードが受信
されたメッセージ504をパケット化する、方法の次の工程に進む。
【0049】
メッセージをパケット化した後、方法は、現在の暗号化鍵(CK)が、その格
納デバイス内で規定されるか否かを伝送ノードが判定する、工程506に進む。
上述したように、暗号化アルゴリズムを採用することによって、パケットを伝送
する次の暗号化鍵を判定する目的で、CKを用いる。CKがすでに規定されてい
る場合、工程508において、暗号化アルゴリズムを用いて、新たな鍵(NK)
が既存のCKから得られ、この鍵が新たなCKとして規定される。そうでない場
合、工程510において、伝送ノードは、一組の再スタート鍵(RK)から鍵を
選択して、この鍵をCKとして規定する。CKを規定するためにどのプロセスを
用いるかにかかわらず、この方法は、CKを用いてノードを伝送することによっ
て、伝送されるべきパケットを暗号化する、工程512に進む。
納デバイス内で規定されるか否かを伝送ノードが判定する、工程506に進む。
上述したように、暗号化アルゴリズムを採用することによって、パケットを伝送
する次の暗号化鍵を判定する目的で、CKを用いる。CKがすでに規定されてい
る場合、工程508において、暗号化アルゴリズムを用いて、新たな鍵(NK)
が既存のCKから得られ、この鍵が新たなCKとして規定される。そうでない場
合、工程510において、伝送ノードは、一組の再スタート鍵(RK)から鍵を
選択して、この鍵をCKとして規定する。CKを規定するためにどのプロセスを
用いるかにかかわらず、この方法は、CKを用いてノードを伝送することによっ
て、伝送されるべきパケットを暗号化する、工程512に進む。
【0050】
伝送されるべきパケットを暗号化した後、工程514において、伝送ノードは
、一意性のメッセージIDおよびチェックサムをパケットに取り付ける。図3に
関して上述したように、メッセージIDおよびチェックサムはそれぞれ、識別お
よび確証を目的とする。次いで、工程516において、図4に関して説明したル
ート付けアルゴリズムによって規定されるように、VXN内の次のノードに、パ
ケットを伝送する。
、一意性のメッセージIDおよびチェックサムをパケットに取り付ける。図3に
関して上述したように、メッセージIDおよびチェックサムはそれぞれ、識別お
よび確証を目的とする。次いで、工程516において、図4に関して説明したル
ート付けアルゴリズムによって規定されるように、VXN内の次のノードに、パ
ケットを伝送する。
【0051】
パケットを伝送した後、工程518において、伝送ノードは、受信ノードから
の検証を待つ。検証パケットが指定の時間内に取得されない場合、伝送ノードは
、工程516に戻り、パケットを再度伝送する。受信ノードから検証パケットを
受信した後、工程520において、伝送ノードは、鍵生成アルゴリズムを用いて
、CKからNKを得る。次いで、工程522において、伝送ノードは、CKを用
いて検証メッセージの解読を試みることによって、検証の正誤を判定する。伝送
ノードが、受信された検証メッセージを解読することができない場合、これは、
検証が誤りであることを意味する。誤った検証パケットを受信すると、工程52
4において、伝送ノードは、一組のRKを用いてこのパケットを解読しようとす
る。伝送ノードが、RKを用いて、誤った検証パケットの解読に成功すると、工
程526において、成功したRKにCKを設定する。次いで、伝送ノードは、工
程506に返り、このパケットを再度送信しようとする。そうでない場合には、
工程528において、CKは、伝送ノードの格納デバイスから消去されて、この
プロセスが、工程506において再度スタートする。各ノードにおいて新たに生
成された鍵を用いて、パケットを解読および再度暗号化してもよい。
の検証を待つ。検証パケットが指定の時間内に取得されない場合、伝送ノードは
、工程516に戻り、パケットを再度伝送する。受信ノードから検証パケットを
受信した後、工程520において、伝送ノードは、鍵生成アルゴリズムを用いて
、CKからNKを得る。次いで、工程522において、伝送ノードは、CKを用
いて検証メッセージの解読を試みることによって、検証の正誤を判定する。伝送
ノードが、受信された検証メッセージを解読することができない場合、これは、
検証が誤りであることを意味する。誤った検証パケットを受信すると、工程52
4において、伝送ノードは、一組のRKを用いてこのパケットを解読しようとす
る。伝送ノードが、RKを用いて、誤った検証パケットの解読に成功すると、工
程526において、成功したRKにCKを設定する。次いで、伝送ノードは、工
程506に返り、このパケットを再度送信しようとする。そうでない場合には、
工程528において、CKは、伝送ノードの格納デバイスから消去されて、この
プロセスが、工程506において再度スタートする。各ノードにおいて新たに生
成された鍵を用いて、パケットを解読および再度暗号化してもよい。
【0052】
肯定の(positive)復号化確認パケットを受信する(すなわち、CK
が確認メッセージを逆暗合化する)と、送信ノードは、ステップ530において
、パケットの保全性が肯定的に確認されたかどうかを判定する。パケットの保全
性が肯定的に確認されていない場合、送信ノードは、ステップ506に戻ること
により、メッセージを再送信する。パケットの保全性の肯定の確認を受信すると
、送信ノードは、ステップ532において、メッセージID、パケット、および
タイムスタンプを関連格納デバイス内に記録する。最終的に、送信ノードは、ス
テップ534において、特定のメッセージの全てのパケットが送信されたかどう
かを判定する。全てのパケットが送信されている場合、この方法は終了する。送
信されていない場合、この方法は、ステップ506に戻り、送信されるべき次の
パケットに移る。
が確認メッセージを逆暗合化する)と、送信ノードは、ステップ530において
、パケットの保全性が肯定的に確認されたかどうかを判定する。パケットの保全
性が肯定的に確認されていない場合、送信ノードは、ステップ506に戻ること
により、メッセージを再送信する。パケットの保全性の肯定の確認を受信すると
、送信ノードは、ステップ532において、メッセージID、パケット、および
タイムスタンプを関連格納デバイス内に記録する。最終的に、送信ノードは、ス
テップ534において、特定のメッセージの全てのパケットが送信されたかどう
かを判定する。全てのパケットが送信されている場合、この方法は終了する。送
信されていない場合、この方法は、ステップ506に戻り、送信されるべき次の
パケットに移る。
【0053】
VXN内の受信マスターノードによる方法論が、図5Bに示される。この方法
論は、ステップ536から始まり、ここで、受信ノードは、パケットが指定時間
内に受信されたかどうかを判定する。このプロセスは、図5Aに関して上で述べ
たものと同じ様態で起こる。上述の方法論と同様に、メッセージが指定時間内に
受信されていない場合、受信ノードは、ステップ538において、ランダムに選
択されたアウトバウンドエッジに沿ってダミーパケットを送信ノードに送ること
により、送信ノードへのパスの容量を判定する。この「ダミー」トランザクショ
ンの一部として、受信マスターノードは、受信パケットのタイマをリセットする
。メッセージが指定時間内に受信されている場合、受信マスターノードは、ステ
ップ540に進み、ここで、パケットの保全性が、メッセージパケットと共に受
信されるチェックサムを介して判定される。伝達されている間、パケットの保全
性が維持されなかった場合、受信ノードは、ステップ542において、RKのセ
ットから暗号化キーを選択する。受信ノードは、次いで、ステップ544におい
て、この暗号化キーを使用して、否定の(negative)応答メッセージを
暗号化する。否定の応答は、暗号化された後、ステップ546において、受信ノ
ードによって送信ノードに送信される。プロセスは、次いで、ステップ536に
おいて再スタートし、ここで、受信ノードは、パケットが受信されるのを待つ。
論は、ステップ536から始まり、ここで、受信ノードは、パケットが指定時間
内に受信されたかどうかを判定する。このプロセスは、図5Aに関して上で述べ
たものと同じ様態で起こる。上述の方法論と同様に、メッセージが指定時間内に
受信されていない場合、受信ノードは、ステップ538において、ランダムに選
択されたアウトバウンドエッジに沿ってダミーパケットを送信ノードに送ること
により、送信ノードへのパスの容量を判定する。この「ダミー」トランザクショ
ンの一部として、受信マスターノードは、受信パケットのタイマをリセットする
。メッセージが指定時間内に受信されている場合、受信マスターノードは、ステ
ップ540に進み、ここで、パケットの保全性が、メッセージパケットと共に受
信されるチェックサムを介して判定される。伝達されている間、パケットの保全
性が維持されなかった場合、受信ノードは、ステップ542において、RKのセ
ットから暗号化キーを選択する。受信ノードは、次いで、ステップ544におい
て、この暗号化キーを使用して、否定の(negative)応答メッセージを
暗号化する。否定の応答は、暗号化された後、ステップ546において、受信ノ
ードによって送信ノードに送信される。プロセスは、次いで、ステップ536に
おいて再スタートし、ここで、受信ノードは、パケットが受信されるのを待つ。
【0054】
パケットの保全性が肯定的に確認されると、受信ノードは、ステップ548に
おいて、CKが規定されているかどうかを判定する。CKが規定されていると、
ステップ550において、受信ノードが、キー生成アルゴリズムを使用してNK
を導き出す。受信ノードは、次いで、ステップ552において、NKを使用して
パケットを復号化することを試みる。逆に、CKが規定されていない場合、受信
ノードは、ステップ554において、RKのセット全体を使用してメッセージを
復号化することを試みる。受信ノードは、次いで、ステップ556において、パ
ケットを復号化することに成功したかを判定する。受信ノードがパケットの復号
化に失敗した場合、受信ノードは、ステップ542に戻り、暗号化された否定の
応答を送信ノードに送信する。
おいて、CKが規定されているかどうかを判定する。CKが規定されていると、
ステップ550において、受信ノードが、キー生成アルゴリズムを使用してNK
を導き出す。受信ノードは、次いで、ステップ552において、NKを使用して
パケットを復号化することを試みる。逆に、CKが規定されていない場合、受信
ノードは、ステップ554において、RKのセット全体を使用してメッセージを
復号化することを試みる。受信ノードは、次いで、ステップ556において、パ
ケットを復号化することに成功したかを判定する。受信ノードがパケットの復号
化に失敗した場合、受信ノードは、ステップ542に戻り、暗号化された否定の
応答を送信ノードに送信する。
【0055】
パケットの復号化に成功すると、受信ノードは、ステップ558において、C
Kを成功復号化キーとして規定する。受信ノードは、次いで、ステップ560に
おいて、キー生成アルゴリズムを使用してCKからNKを導き出し、CKをNK
に設定(set)する。受信ノードは、次いで、ステップ562において、CK
を使用して暗号化され、送信ノードに送信される肯定の認証メッセージを生成す
る。
Kを成功復号化キーとして規定する。受信ノードは、次いで、ステップ560に
おいて、キー生成アルゴリズムを使用してCKからNKを導き出し、CKをNK
に設定(set)する。受信ノードは、次いで、ステップ562において、CK
を使用して暗号化され、送信ノードに送信される肯定の認証メッセージを生成す
る。
【0056】
肯定の認証メッセージが送信ノードに送信された後、ステップ564において
、受信されたパケットの記録が受信ノード内に記録される。この記録は、メッセ
ージID、パケットに関連するタイムスタンプ、およびパケット自体のコピーを
含む。パケットが一旦記録されると、受信ノードは、次いで、ステップ566に
おいて、それが目的地ノードかどうかを判定する。受信ノードが目的地ノードで
ない場合、受信ノードは、次いで、ステップ506において、送信ノードになり
、パケット送信方法論を開始する(図5A)。
、受信されたパケットの記録が受信ノード内に記録される。この記録は、メッセ
ージID、パケットに関連するタイムスタンプ、およびパケット自体のコピーを
含む。パケットが一旦記録されると、受信ノードは、次いで、ステップ566に
おいて、それが目的地ノードかどうかを判定する。受信ノードが目的地ノードで
ない場合、受信ノードは、次いで、ステップ506において、送信ノードになり
、パケット送信方法論を開始する(図5A)。
【0057】
受信ノードが目的地ノードである場合、受信ノードは、ステップ568におい
て、特定のメッセージに関連する全てのパケットが受信されたかどうかを判定す
る。メッセージのパケットが必ずしも全て受信されていない場合、ステップ53
6において、方法論が再スタートする。メッセージのパケットが全て受信されて
いる場合、受信ノードは、ステップ570において全てのパケットをアセンブル
し、方法論は完了する。
て、特定のメッセージに関連する全てのパケットが受信されたかどうかを判定す
る。メッセージのパケットが必ずしも全て受信されていない場合、ステップ53
6において、方法論が再スタートする。メッセージのパケットが全て受信されて
いる場合、受信ノードは、ステップ570において全てのパケットをアセンブル
し、方法論は完了する。
【0058】
本発明を説明するさらなる情報が付録Aで提供される。
【0059】
本発明の特定の実施形態が示され、説明されたが、発明の真の範囲および趣旨
から逸脱することなく、このような実施形態の変更および改変が可能であること
は明らかである。従って、本発明は、特許請求の範囲およびその均等物の範囲内
にある場合、本発明の改変および変形を含むことが意図される。
から逸脱することなく、このような実施形態の変更および改変が可能であること
は明らかである。従って、本発明は、特許請求の範囲およびその均等物の範囲内
にある場合、本発明の改変および変形を含むことが意図される。
【0060】
(付録「A」)
(用語および定義)
VXNは、グラフ理論[2]の観点から、有向グラフGとして説明される。有
向グラフGは、N個の頂点V={vi}およびM個のエッジE={ei}を含み、
頂点間の仮想接続(VC)(これらの接続は、基礎パケットネットワークにおい
て行われる)を表し、下記の特性を有する。 1.頂点は、VXN内のコンピュータである。頂点は、クライアント、サーバ、
またはマスターであり得る。 2.サーバは、情報のソースまたはシンクである。クライアントは、サーバから
情報をリクエストし得るか、またはサーバ内の情報を更新し得る。 3.少なくとも1つの頂点は、マスターである必要がある。 4.マスターのセットは、VXNを管理する役割を果たす。 5.エッジは、一方向または双方向のVCのいずれかである。 6.入射エッジ(incident edge)を1つより多く有する任意の頂
点は、VXNにおいて、ルータとしても機能する必要がある。 7.Gは非反射的である。 8.パスまたはルートは、i→jと示される頂点viから頂点vjへのデータの送
信を可能にするエッジのシーケンス(順序付けられたセット)である。 9.全ての各頂点とその他の全ての頂点との間に、少なくとも1つの全二重パス
が必要である。
向グラフGは、N個の頂点V={vi}およびM個のエッジE={ei}を含み、
頂点間の仮想接続(VC)(これらの接続は、基礎パケットネットワークにおい
て行われる)を表し、下記の特性を有する。 1.頂点は、VXN内のコンピュータである。頂点は、クライアント、サーバ、
またはマスターであり得る。 2.サーバは、情報のソースまたはシンクである。クライアントは、サーバから
情報をリクエストし得るか、またはサーバ内の情報を更新し得る。 3.少なくとも1つの頂点は、マスターである必要がある。 4.マスターのセットは、VXNを管理する役割を果たす。 5.エッジは、一方向または双方向のVCのいずれかである。 6.入射エッジ(incident edge)を1つより多く有する任意の頂
点は、VXNにおいて、ルータとしても機能する必要がある。 7.Gは非反射的である。 8.パスまたはルートは、i→jと示される頂点viから頂点vjへのデータの送
信を可能にするエッジのシーケンス(順序付けられたセット)である。 9.全ての各頂点とその他の全ての頂点との間に、少なくとも1つの全二重パス
が必要である。
【0061】
【数1】
10.各マスターとその他の少なくとも1つのマスターとの間に、少なくとも
1つの全二重パスが必要である。
1つの全二重パスが必要である。
【0062】
11.スカラーdi∈[0,1]は、各エッジeiに関連する。各diは、VC
eiの容量を表す。容量は、発見的な大きさであり、利用可能なバンド幅と、ス
ループットと、VCを形成する基礎パケットネットワークの接続の信頼性とを基
準化し重み付けした値の合計である。
eiの容量を表す。容量は、発見的な大きさであり、利用可能なバンド幅と、ス
ループットと、VCを形成する基礎パケットネットワークの接続の信頼性とを基
準化し重み付けした値の合計である。
【0063】
12.Gは動的である。Gが本明細書中の特性と一致するままであると確認す
る様態で、頂点の追加および削除、エッジの追加および削除、ならびに{di}
の更新が行われ得る。
る様態で、頂点の追加および削除、エッジの追加および削除、ならびに{di}
の更新が行われ得る。
【0064】
(ルーティング)
ルーティングアルゴリズムの目的は、以下の事象の発生を確実にすることであ
る。 ・VXNが、基本的なパケットネットワークを効率的に利用する。 ・VXNが、確率的にクエリをルーティングして、全トランザクションが、VX
Nへの基本的なパケットネットワークにおけるパケットインターセプタによって
再構築される可能性を低減する。 ・クライアント−サーバ間のすべてのクエリを少なくとも1つのマスターを介し
てルーティングする。 ・サーバ−クライアント間のすべての応答を少なくとも1つのマスターを介して
ルーティングする。
る。 ・VXNが、基本的なパケットネットワークを効率的に利用する。 ・VXNが、確率的にクエリをルーティングして、全トランザクションが、VX
Nへの基本的なパケットネットワークにおけるパケットインターセプタによって
再構築される可能性を低減する。 ・クライアント−サーバ間のすべてのクエリを少なくとも1つのマスターを介し
てルーティングする。 ・サーバ−クライアント間のすべての応答を少なくとも1つのマスターを介して
ルーティングする。
【0065】
VXNルーティングアルゴリズム(VRA)の好適な実施形態は、以下の項目
からなる。 1.N×MコストマトリクスKi(各頂点vi)。Kiの各K(n,m)要素は、
エッジemから始まるviからvnへの最小の高価なパスによって、viからvnへ
データを送信する最小コストを含む。emがviに入射しない場合には、K(n,
m)はゼロである。一組のKiは、ベルマン−フォードアルゴリズムまたはDi
jkstraアルゴリズム[1]等の種々の動的プログラミング法を用いて計算
され得る。一組のKiマトリクスは、予め計算されて、VXNの設定の一部とし
て、すべての頂点にダウンロードされる。その後、Kiは、アップデートを管理
するマスターによってすべての頂点へと定期的にダウンロードされる。 2.Kiから得られるコストベクトル。このコストベクトルは、viの各入射アウ
トバウンドエッジに沿って生じるパスを介してマスターに達する最小コストを含
む。 3.パスのコストは、パスを含むエッジのdiの逆数の和として規定される。 4.VXNのノードで生じるすべてのメッセージに、メッセージの送信元と目的
地アドレスとがスタンプされる。 5.目的地頂点を除くすべての頂点が、(エッジが開始頂点でない場合に、クエ
リが転送されたエッジを除く)入射アウトバウンドエッジの1つに沿って、近隣
の頂点へとメッセージをルーティングする。このことは、メッセージを目的地v n へルーティングするようにアウトバウンドエッジemを選択する確率が
からなる。 1.N×MコストマトリクスKi(各頂点vi)。Kiの各K(n,m)要素は、
エッジemから始まるviからvnへの最小の高価なパスによって、viからvnへ
データを送信する最小コストを含む。emがviに入射しない場合には、K(n,
m)はゼロである。一組のKiは、ベルマン−フォードアルゴリズムまたはDi
jkstraアルゴリズム[1]等の種々の動的プログラミング法を用いて計算
され得る。一組のKiマトリクスは、予め計算されて、VXNの設定の一部とし
て、すべての頂点にダウンロードされる。その後、Kiは、アップデートを管理
するマスターによってすべての頂点へと定期的にダウンロードされる。 2.Kiから得られるコストベクトル。このコストベクトルは、viの各入射アウ
トバウンドエッジに沿って生じるパスを介してマスターに達する最小コストを含
む。 3.パスのコストは、パスを含むエッジのdiの逆数の和として規定される。 4.VXNのノードで生じるすべてのメッセージに、メッセージの送信元と目的
地アドレスとがスタンプされる。 5.目的地頂点を除くすべての頂点が、(エッジが開始頂点でない場合に、クエ
リが転送されたエッジを除く)入射アウトバウンドエッジの1つに沿って、近隣
の頂点へとメッセージをルーティングする。このことは、メッセージを目的地v n へルーティングするようにアウトバウンドエッジemを選択する確率が
【0066】
【数2】
となるように行われる。ここで、iは、メッセージがノードに入るエッジを除い
て、すべてのアウトバウンドエッジを含む。 6.目的地アドレスが最近接のマスタノードを表すワイルドカードである場合、
最近接のマスターへのコストベクトル(上記で2と求められている)が、P(m
)を計算するためにK(n,m)の代わりに用いられる。
て、すべてのアウトバウンドエッジを含む。 6.目的地アドレスが最近接のマスタノードを表すワイルドカードである場合、
最近接のマスターへのコストベクトル(上記で2と求められている)が、P(m
)を計算するためにK(n,m)の代わりに用いられる。
【0067】
VRAの他の実施形態は、適応可能なルーティングスキーム等の上述の変形例
を含み得る。この場合、各ノードが、最近接の近隣をクエリすることによって、
または、それを流れていくデータパケットからのルーティング距離を収集するこ
とによってルーティング関数を自発的にアップデートする。ネットワーク効率が
ある程度損なわれる可能性があるものの、フラッドルーティングおよびダムルー
ティング等の他のルーティングアルゴリズムでさえ可能である。
を含み得る。この場合、各ノードが、最近接の近隣をクエリすることによって、
または、それを流れていくデータパケットからのルーティング距離を収集するこ
とによってルーティング関数を自発的にアップデートする。ネットワーク効率が
ある程度損なわれる可能性があるものの、フラッドルーティングおよびダムルー
ティング等の他のルーティングアルゴリズムでさえ可能である。
【0068】
(データ送信フォーマット)
本発明の好適な実施形態によれば、VXNには以下の通信フォーマットが採用
される。 ・VXNのエッジに沿ったすべての通信が、受信の受取り確定を含み、受取りが
受信されない場合には、再送信を生成する。 ・送信頂点は、(以降に説明するように)メッセージを暗号化し、チェックサム
と固有のメッセージIDとをその暗号化されたメッセージに添付し、その添付さ
れたメッセージを受信者に送信する。受信者は、メッセージが完全であるか確認
し、応答時に、受取り確定または受取り拒否をメッセージIDに記載の送信者に
送信する。受取り確定である場合、受信者は、定期的にパージされる一時的デー
タベースにメッセージIDとタイムスタンプとを記録する(約10回の往復遅延
によって最も遅いリンクを最近接の近隣まで下げる)。受取り拒否の場合には、
受信の記録は残らない。 ・送信者が、受取り拒否またはエッジの往復遅延に比例する時間ウィンドウ内で
の受取りなしのいずれかを受信すると、メッセージは、同じメッセージIDで再
送信される。 ・同じ送信者から重複するメッセージIDを受信する受信者は、そのメッセージ
を破棄して、送信者に前の受取りを返送する。 ・受信者が目的地ノードでない場合、上述したルーティング基準を用いて、異な
る鍵(以下を参照)でメッセージを再暗号化した後に、そのメッセージを転送す
る必要がある。 ・タイマが各ノードのエッジに関連付けられている。パケットが送信されるか、
受信されるか、または、受取りが送信される場合には、タイマがリセットされる
。タイマが所与のエッジに対して時間切れとなると、ダミーパケットが生成され
(そのダミーパケットの目的地アドレスは、エッジのもう一方の端にあるノード
である)、そのエッジに沿って送信される。各タイマが時間切れとなれば、リン
クのdmが下がる(その結果、トラフィックが他のルートをとることになる)。
・「ピング」パケットは、ノードと最近接の近隣との間で定期的に送信される。
指数平均アルゴリズムを用いてdmを更新するために、作業時間が用いられる。
される。 ・VXNのエッジに沿ったすべての通信が、受信の受取り確定を含み、受取りが
受信されない場合には、再送信を生成する。 ・送信頂点は、(以降に説明するように)メッセージを暗号化し、チェックサム
と固有のメッセージIDとをその暗号化されたメッセージに添付し、その添付さ
れたメッセージを受信者に送信する。受信者は、メッセージが完全であるか確認
し、応答時に、受取り確定または受取り拒否をメッセージIDに記載の送信者に
送信する。受取り確定である場合、受信者は、定期的にパージされる一時的デー
タベースにメッセージIDとタイムスタンプとを記録する(約10回の往復遅延
によって最も遅いリンクを最近接の近隣まで下げる)。受取り拒否の場合には、
受信の記録は残らない。 ・送信者が、受取り拒否またはエッジの往復遅延に比例する時間ウィンドウ内で
の受取りなしのいずれかを受信すると、メッセージは、同じメッセージIDで再
送信される。 ・同じ送信者から重複するメッセージIDを受信する受信者は、そのメッセージ
を破棄して、送信者に前の受取りを返送する。 ・受信者が目的地ノードでない場合、上述したルーティング基準を用いて、異な
る鍵(以下を参照)でメッセージを再暗号化した後に、そのメッセージを転送す
る必要がある。 ・タイマが各ノードのエッジに関連付けられている。パケットが送信されるか、
受信されるか、または、受取りが送信される場合には、タイマがリセットされる
。タイマが所与のエッジに対して時間切れとなると、ダミーパケットが生成され
(そのダミーパケットの目的地アドレスは、エッジのもう一方の端にあるノード
である)、そのエッジに沿って送信される。各タイマが時間切れとなれば、リン
クのdmが下がる(その結果、トラフィックが他のルートをとることになる)。
・「ピング」パケットは、ノードと最近接の近隣との間で定期的に送信される。
指数平均アルゴリズムを用いてdmを更新するために、作業時間が用いられる。
【0069】
(暗号)
好適には、VXNにおけるすべてのエッジは、それが結合する頂点と共通する
以下のデータ構造と関連付けられる。 1.暗号/復号アルゴリズム(EA) 2.古いキーおよび、古いキーによって暗号化されたプレーンテキストを用いる
固有の新しいキーを導出するためのアルゴリズム。多数のアルゴリズムは、この
目的のために利用可能であり、その最も単純なものは、古いキーの多数のビット
の合接、および新しいキーを受け取るためのアルゴリズムを生成するキーに供給
されるシードを導出するために暗号化された前のプレーンテキストを用いる。 3.相対的に大きいが、依然としてすべての考えられるキーの小さいセットであ
るリスタートキー(RK)のセットであり、すべての考えられるリスタートキー
を用いるメッセージを復号するためのそのような試みは、インカンベントエッジ
のためのラウンドトリップタイムよりもはるかに少なくなければならない。
以下のデータ構造と関連付けられる。 1.暗号/復号アルゴリズム(EA) 2.古いキーおよび、古いキーによって暗号化されたプレーンテキストを用いる
固有の新しいキーを導出するためのアルゴリズム。多数のアルゴリズムは、この
目的のために利用可能であり、その最も単純なものは、古いキーの多数のビット
の合接、および新しいキーを受け取るためのアルゴリズムを生成するキーに供給
されるシードを導出するために暗号化された前のプレーンテキストを用いる。 3.相対的に大きいが、依然としてすべての考えられるキーの小さいセットであ
るリスタートキー(RK)のセットであり、すべての考えられるリスタートキー
を用いるメッセージを復号するためのそのような試みは、インカンベントエッジ
のためのラウンドトリップタイムよりもはるかに少なくなければならない。
【0070】
(好適な暗号の方法論)
1.頂点がメッセージをまさに最初のエッジに伝送すると、頂点はキーをRKの
セットからのキーをランダムに選択し、このキーを現在のキー(CK)として登
録する。 2.頂点がメッセージをまさに最初のエッジを介して受信すると、頂点は、発信
器によって用いられるキーを見つけるまでメッセージを復号するためにRKのセ
ットからのキーを順次試み、かつこれをCKとして登録する。頂点は、発信器へ
の受領確認(ACK)を返信するためのCKを用い、上述のように新しいキー(
NK)をCKから導出する。 3.受信器が発信器からのメッセージを解読できないとき、受信器は、RKのセ
ットを試み、CKとして成功したキーを登録する。符号化キーが見つからない場
合、受信器は、NAKを形成するためにRKを用いる否定の受領確認(NAK)
を返信する。 4.受信器が、発信器にメッセージの受領を肯定的に確認すると、発信器は、現
在のキーから新しいキーを導出し、かつ前のキーを現在のキーにする。 5.発信器が受信器から肯定的な受領確認を受信すると、発信器はCKをNKに
セットする。 6.いくつかの再試行の後、発信器がACKを受信しない場合、発信器は、CK
をRKからのランダムキーにセットし、新しいメッセージIDを選択し、そして
メッセージを再伝送する。 7.肯定的受領確認および否定的受領確認を含むすべての伝送は暗号化される。
8.メッセージID以外のすべてのメッセージは、暗号化される。
セットからのキーをランダムに選択し、このキーを現在のキー(CK)として登
録する。 2.頂点がメッセージをまさに最初のエッジを介して受信すると、頂点は、発信
器によって用いられるキーを見つけるまでメッセージを復号するためにRKのセ
ットからのキーを順次試み、かつこれをCKとして登録する。頂点は、発信器へ
の受領確認(ACK)を返信するためのCKを用い、上述のように新しいキー(
NK)をCKから導出する。 3.受信器が発信器からのメッセージを解読できないとき、受信器は、RKのセ
ットを試み、CKとして成功したキーを登録する。符号化キーが見つからない場
合、受信器は、NAKを形成するためにRKを用いる否定の受領確認(NAK)
を返信する。 4.受信器が、発信器にメッセージの受領を肯定的に確認すると、発信器は、現
在のキーから新しいキーを導出し、かつ前のキーを現在のキーにする。 5.発信器が受信器から肯定的な受領確認を受信すると、発信器はCKをNKに
セットする。 6.いくつかの再試行の後、発信器がACKを受信しない場合、発信器は、CK
をRKからのランダムキーにセットし、新しいメッセージIDを選択し、そして
メッセージを再伝送する。 7.肯定的受領確認および否定的受領確認を含むすべての伝送は暗号化される。
8.メッセージID以外のすべてのメッセージは、暗号化される。
【0071】
(データベース複製および冗長性)
各マスターは、以下の、VXNのオペレーションに関する情報を有するシステ
ムデータベースを含む。 ・頂点の組 V ・辺の組 X ・完全な{dm}の組とともに、Gのトポロジーを完全に記述する接続性マトリ
クス。必要に応じて、任意のVのサブセットが同時に更新され得ることを確実に
する、ロックデータベースオペレーションおよび更新データベースオペレーショ
ンを用いる任意のマスターによって、各ノードが更新され得る。各データベース
更新オペレーションは、可逆性があり、任意の数のノードが同期的に更新される
ことを可能にする。同期更新が完了されることができない場合、全てのデータベ
ースは、以前の状態に後退復帰する。 ・計算された{Ki}の組 ・{Ki}が導出されるdmの組 ・暗号化アルゴリズムおよび各{em}に関するRK さらに、各サーバが、好ましくは、課金のために、トランザクションを記録す
る会計データベースを含む。会計データベースおよびその操作は以下の規則を有
する。 ・VXN上で実行されているアプリケーションが要求する場合、サーバの会計デ
ータベースは、増分的な同期更新を用いて、Gにおける他の頂点を収集して複製
され得る。 ・全ての更新は、タイムスタンプされる。
ムデータベースを含む。 ・頂点の組 V ・辺の組 X ・完全な{dm}の組とともに、Gのトポロジーを完全に記述する接続性マトリ
クス。必要に応じて、任意のVのサブセットが同時に更新され得ることを確実に
する、ロックデータベースオペレーションおよび更新データベースオペレーショ
ンを用いる任意のマスターによって、各ノードが更新され得る。各データベース
更新オペレーションは、可逆性があり、任意の数のノードが同期的に更新される
ことを可能にする。同期更新が完了されることができない場合、全てのデータベ
ースは、以前の状態に後退復帰する。 ・計算された{Ki}の組 ・{Ki}が導出されるdmの組 ・暗号化アルゴリズムおよび各{em}に関するRK さらに、各サーバが、好ましくは、課金のために、トランザクションを記録す
る会計データベースを含む。会計データベースおよびその操作は以下の規則を有
する。 ・VXN上で実行されているアプリケーションが要求する場合、サーバの会計デ
ータベースは、増分的な同期更新を用いて、Gにおける他の頂点を収集して複製
され得る。 ・全ての更新は、タイムスタンプされる。
【0072】
以下に、システムデータベースおよびその操作の特性を示す。
・マスターのみがシステムデータベースを更新し得る。
・全てのシステムデータベース更新は、全てのマスターが同時に更新される同期
オペレーションである。マスターが更新されることができない場合、オペレーシ
ョンは中断し、何も更新されない。 ・好ましくは、全てのシステム更新は、高精度クロックから(例えば、衛星航法
システムから)入手した世界時コードでタイムスタンプされる。 ・マスターがシステムクラッシュの後に再開される場合、マスターは、そのシス
テムデータベースのタイムスタンプを他のマスターと比較し、現在のものでない
場合には、最近接のマスターから、システムデータベースのコピーを更新する。
コピーの間、ソースマスタのシステムデータベースはロックされ、任意の他のシ
ステムデータベースの更新を防ぐ。 ・各マスターは、そのハウスキーピング機能(例えば、各ノードからのdmの組
のダウンロード、{Ki}の計算、各ノードに対するこれらの更新など)のキュ
ーを維持する。各ハウスキーピング機能に関するタイマによって決定される周期
で、1より低い確率で(マスターのCPUロードおよびそのリンクの状態に依存
して)、マスターは、VXNにわたって行われる機能を選択し得る。このことを
行う前に、マスターは、全てのマスターのシステムデータベース内のフラグを同
期的に設定して、他の任意のマスターが同時に同じ機能を試みないことを確実に
する必要がある。マスターはロックされ、機能を行って、ロックを解除する(ま
たは、何らかの理由で機能が行われない場合でも、ロックを解除する)必要があ
る。 ・マスターが再開する場合、クラッシュする前に獲得した全てのロックをクリア
する必要がある。
オペレーションである。マスターが更新されることができない場合、オペレーシ
ョンは中断し、何も更新されない。 ・好ましくは、全てのシステム更新は、高精度クロックから(例えば、衛星航法
システムから)入手した世界時コードでタイムスタンプされる。 ・マスターがシステムクラッシュの後に再開される場合、マスターは、そのシス
テムデータベースのタイムスタンプを他のマスターと比較し、現在のものでない
場合には、最近接のマスターから、システムデータベースのコピーを更新する。
コピーの間、ソースマスタのシステムデータベースはロックされ、任意の他のシ
ステムデータベースの更新を防ぐ。 ・各マスターは、そのハウスキーピング機能(例えば、各ノードからのdmの組
のダウンロード、{Ki}の計算、各ノードに対するこれらの更新など)のキュ
ーを維持する。各ハウスキーピング機能に関するタイマによって決定される周期
で、1より低い確率で(マスターのCPUロードおよびそのリンクの状態に依存
して)、マスターは、VXNにわたって行われる機能を選択し得る。このことを
行う前に、マスターは、全てのマスターのシステムデータベース内のフラグを同
期的に設定して、他の任意のマスターが同時に同じ機能を試みないことを確実に
する必要がある。マスターはロックされ、機能を行って、ロックを解除する(ま
たは、何らかの理由で機能が行われない場合でも、ロックを解除する)必要があ
る。 ・マスターが再開する場合、クラッシュする前に獲得した全てのロックをクリア
する必要がある。
【0073】
上記の説明は、例示するためにのみ、好適な実施形態に関連することが理解さ
れる必要がある。本発明の多くの変形例が、当該分野の当業者にとって明らかで
あり、このような明らかな変形例は、明確に説明されているか否かに関わらず、
説明される本発明の範囲内に含まれる。
れる必要がある。本発明の多くの変形例が、当該分野の当業者にとって明らかで
あり、このような明らかな変形例は、明確に説明されているか否かに関わらず、
説明される本発明の範囲内に含まれる。
【0074】
(参考文献)
1.William Stallings、Data and Compute
r Communications、Macmillan Publishin
g Co.、1991. 2.Gary Chartand、Introduction to Grap
h Theory、Dover Publications、1985. 3.Howard A.Seidら、「Virtual Private Ne
twork、米国特許第5,768,271号、1998.
r Communications、Macmillan Publishin
g Co.、1991. 2.Gary Chartand、Introduction to Grap
h Theory、Dover Publications、1985. 3.Howard A.Seidら、「Virtual Private Ne
twork、米国特許第5,768,271号、1998.
【図1】
図1は、開放型システム間相互接続(OSI)基準の模式的表現を表わす。
【図2】
図2は、従来技術で公知である仮想私設網を介して伝達されるデータの模式的
表現を表わす。
表現を表わす。
【図3】
図3は、本発明の1つの実施形態によるセキュアでない通信ネットワークを介
してセキュアなトランザクションを提供するためのシステムの模式的表現を表わ
す。
してセキュアなトランザクションを提供するためのシステムの模式的表現を表わ
す。
【図4A】
図4Aは、セキュアでないネットワーク介してセキュアなトランザクションを
提供することにより、システム内の通信経路の能力を判定するためのプローブを
送信する、本発明の好適な実施形態の方法のフローチャートを示す。
提供することにより、システム内の通信経路の能力を判定するためのプローブを
送信する、本発明の好適な実施形態の方法のフローチャートを示す。
【図4B】
図4Bは、セキュアでないネットワークを介してセキュアなトランザクション
を提供することにより、システム内の通信経路の能力を判定するためのプローブ
への応答を送信する、本発明の好適な実施形態の方法のフローチャートを示す。
を提供することにより、システム内の通信経路の能力を判定するためのプローブ
への応答を送信する、本発明の好適な実施形態の方法のフローチャートを示す。
【図5A】
図5Aは、セキュアでないネットワークを介してセキュアなトランザクション
を提供するシステムを介してメッセージを伝送する、本発明の好適な実施形態の
方法のフローチャートを示す。
を提供するシステムを介してメッセージを伝送する、本発明の好適な実施形態の
方法のフローチャートを示す。
【図5B】
図5Bは、セキュアでないネットワークを介してセキュアなトランザクション
を提供するシステムを介してメッセージを受信する、本発明の好適な実施形態の
方法のフローチャートを示す。
を提供するシステムを介してメッセージを受信する、本発明の好適な実施形態の
方法のフローチャートを示す。
─────────────────────────────────────────────────────
フロントページの続き
(81)指定国 EP(AT,BE,CH,CY,
DE,DK,ES,FI,FR,GB,GR,IE,I
T,LU,MC,NL,PT,SE),OA(BF,BJ
,CF,CG,CI,CM,GA,GN,GW,ML,
MR,NE,SN,TD,TG),AP(GH,GM,K
E,LS,MW,MZ,SD,SL,SZ,TZ,UG
,ZW),EA(AM,AZ,BY,KG,KZ,MD,
RU,TJ,TM),AE,AG,AL,AM,AT,
AU,AZ,BA,BB,BG,BR,BY,BZ,C
A,CH,CN,CR,CU,CZ,DE,DK,DM
,DZ,EE,ES,FI,GB,GD,GE,GH,
GM,HR,HU,ID,IL,IN,IS,JP,K
E,KG,KP,KR,KZ,LC,LK,LR,LS
,LT,LU,LV,MA,MD,MG,MK,MN,
MW,MX,MZ,NO,NZ,PL,PT,RO,R
U,SD,SE,SG,SI,SK,SL,TJ,TM
,TR,TT,TZ,UA,UG,US,UZ,VN,
YU,ZA,ZW
Claims (4)
- 【請求項1】 パケットスイッチ型通信ネットワークを介してセキュアなト
ランザクションを提供する方法であって、 プローブパケットを隣接ノードに送信するステップと、 該プローブに対し、複数の送信経路の容量を特定する複数の応答パケットを受
信するステップと、 該応答に基づいて、該送信経路の1つ上の目的地ノードにデータパケットを送
信するステップと を包含する、方法。 - 【請求項2】 パケットスイッチ型通信ネットワークを介してセキュアなト
ランザクションを提供する方法であって、 プローブを隣接ノードから受信するステップと、 目的地ノードではないノードで該プローブを受信することに応じて、少なくと
も1つの他の隣接ノードに該プローブを転送するステップと、 該プローブが目的地ノードで受信された場合、該プローブを受信することに応
じて、返答を送るステップと を包含する、方法。 - 【請求項3】 パケットスイッチ型通信ネットワークを介してセキュアなト
ランザクションを提供する方法であって、 現在の暗号化キーを用いて暗号化データパケットを受信するステップと、 該現在の暗号化キーから、キー生成アルゴリズムを用いて、該暗号化キーを復
号化するステップと、 該現在の暗号化キーとして該新たな暗号化キーを規定するステップと、 該現在の暗号化キーを用いて該データパケットを暗号化するステップと、 該データパケットを隣接ノードに送信するステップと を包含する、方法。 - 【請求項4】 複数のデータパケットを含む電子トランザクションメッセー
ジを送信する方法であって、 時間スタンプおよびメッセージ識別子番号の少なくとも一方に、複数のデータ
パケットの各々を付与するステップと、 該電子トランザクションデータベースのデータパケットの各々の一部を格納す
るステップと、 該追加された、時間スタンプおよびメッセージ識別子番号の少なくとも一方を
用いて、該電子トランザクションデータベースの前の状態を復元するステップと
を包含する、方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15395299P | 1999-09-15 | 1999-09-15 | |
| US60/153,952 | 1999-09-15 | ||
| PCT/CA2000/001073 WO2001020430A2 (en) | 1999-09-15 | 2000-09-15 | System and method for secure transactions over a network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003509926A true JP2003509926A (ja) | 2003-03-11 |
Family
ID=22549399
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001523944A Withdrawn JP2003509926A (ja) | 1999-09-15 | 2000-09-15 | ネットワークを介するトランザクションをセキュアにするためのシステムおよび方法 |
Country Status (6)
| Country | Link |
|---|---|
| EP (1) | EP1219079B1 (ja) |
| JP (1) | JP2003509926A (ja) |
| AU (1) | AU7397100A (ja) |
| CA (1) | CA2380877C (ja) |
| MX (1) | MXPA02002935A (ja) |
| WO (1) | WO2001020430A2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101192937B1 (ko) | 2005-11-09 | 2012-10-18 | 톰슨 라이센싱 | 무선 네트워크에서의 경로 선택 |
| US8467297B2 (en) | 2005-03-10 | 2013-06-18 | Thomson Licensing | Hybrid mesh routing protocol |
| KR101324877B1 (ko) | 2006-01-27 | 2013-11-01 | 알카텔-루센트 유에스에이 인코포레이티드 | 네트워크 감시 방법, 시스템 및 컴퓨터 판독가능 저장 매체 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7023833B1 (en) | 1999-09-10 | 2006-04-04 | Pulse-Link, Inc. | Baseband wireless network for isochronous communication |
| US7010590B1 (en) | 1999-09-15 | 2006-03-07 | Datawire Communications Networks, Inc. | System and method for secure transactions over a network |
| US20020116606A1 (en) * | 2001-02-16 | 2002-08-22 | Gehring Stephan W. | Encryption and decryption system for multiple node network |
| US7219149B2 (en) | 2003-06-12 | 2007-05-15 | Dw Holdings, Inc. | Versatile terminal adapter and network for transaction processing |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1991014230A1 (en) * | 1990-03-05 | 1991-09-19 | Fujitsu Limited | Message communication processing system |
| US5781534A (en) | 1995-10-31 | 1998-07-14 | Novell, Inc. | Method and apparatus for determining characteristics of a path |
| US6085243A (en) | 1996-12-13 | 2000-07-04 | 3Com Corporation | Distributed remote management (dRMON) for networks |
| JP3625983B2 (ja) * | 1997-03-12 | 2005-03-02 | 三菱商事株式会社 | データ管理システム |
| US5875291A (en) * | 1997-04-11 | 1999-02-23 | Tandem Computers Incorporated | Method and apparatus for checking transactions in a computer system |
| ID24678A (id) | 1997-06-06 | 2000-07-27 | Salbu Res & Dev Pty Ltd | Metode pengoperasian suatu jaringan multi stasiun |
| JPH11163947A (ja) * | 1997-09-22 | 1999-06-18 | Toshiba Corp | ゲートウェイ装置、無線端末装置、ルータ装置および通信ネットワークのゲートウェイ制御方法 |
| CA2221661A1 (en) * | 1997-11-20 | 1999-05-20 | Crosskeys Systems Corporation | Transaction roll forward |
-
2000
- 2000-09-15 CA CA002380877A patent/CA2380877C/en not_active Expired - Lifetime
- 2000-09-15 MX MXPA02002935A patent/MXPA02002935A/es active IP Right Grant
- 2000-09-15 WO PCT/CA2000/001073 patent/WO2001020430A2/en active Application Filing
- 2000-09-15 JP JP2001523944A patent/JP2003509926A/ja not_active Withdrawn
- 2000-09-15 AU AU73971/00A patent/AU7397100A/en not_active Abandoned
- 2000-09-15 EP EP00962111.1A patent/EP1219079B1/en not_active Expired - Lifetime
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8467297B2 (en) | 2005-03-10 | 2013-06-18 | Thomson Licensing | Hybrid mesh routing protocol |
| KR101192937B1 (ko) | 2005-11-09 | 2012-10-18 | 톰슨 라이센싱 | 무선 네트워크에서의 경로 선택 |
| KR101324877B1 (ko) | 2006-01-27 | 2013-11-01 | 알카텔-루센트 유에스에이 인코포레이티드 | 네트워크 감시 방법, 시스템 및 컴퓨터 판독가능 저장 매체 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2380877C (en) | 2009-09-08 |
| WO2001020430A3 (en) | 2001-11-29 |
| EP1219079B1 (en) | 2013-10-23 |
| WO2001020430A2 (en) | 2001-03-22 |
| CA2380877A1 (en) | 2001-03-22 |
| EP1219079A2 (en) | 2002-07-03 |
| AU7397100A (en) | 2001-04-17 |
| MXPA02002935A (es) | 2003-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7558951B2 (en) | System and method for secure transactions over a network | |
| Caini et al. | Delay-and disruption-tolerant networking (DTN): an alternative solution for future satellite networking applications | |
| Čapkun et al. | SECTOR: secure tracking of node encounters in multi-hop wireless networks | |
| Buttyán et al. | Report on a working session on security in wireless ad hoc networks | |
| Karn et al. | Photuris: Session-key management protocol | |
| US5455865A (en) | Robust packet routing over a distributed network containing malicious failures | |
| US5604807A (en) | System and scheme of cipher communication | |
| US7734770B2 (en) | System and method for monitoring information in a network environment | |
| US6772337B1 (en) | Light weight security for parallel access to multiple mirror sites | |
| US7120792B1 (en) | System and method for secure communication of routing messages | |
| US20070186130A1 (en) | Reduced size transmission data packet header format for a medical device | |
| US20100011435A1 (en) | Method and System for Providing Guaranteed File Transfer in Corporate Environment Behind Firewall | |
| JPH0787116A (ja) | ネットワークを管理する方法および装置 | |
| Gañán et al. | COACH: COllaborative certificate stAtus CHecking mechanism for VANETs | |
| AU5998898A (en) | Secure packet radio network | |
| US8688077B2 (en) | Communication system and method for providing a mobile communications service | |
| EP1219079B1 (en) | System and method for secure transactions over a network | |
| Haase et al. | Secure communication protocol for network-on-chip with authenticated encryption and recovery mechanism | |
| Piccoli et al. | Group key management in constrained IoT settings | |
| JP3618508B2 (ja) | 受信プロトコル装置及び同報メッセージ送信装置 | |
| Cooper et al. | The design and implementation of a private message service for mobile computers | |
| Li et al. | Hierarchical agent-based secure and reliable multicast in wireless mesh networks | |
| JP2000124900A (ja) | 課金徴収方法とその装置及び通信システム | |
| Calvert et al. | Scalable network management using lightweight programmable network services | |
| Ma et al. | Delay Tolerant Networking. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20071204 |