JP2008505512A - ファイアウォールを有するサーバとファイアウォールを有するクライアントとの間の安全なインターネット接続を自動的に起動し動的に確立するためのシステムおよび方法 - Google Patents
ファイアウォールを有するサーバとファイアウォールを有するクライアントとの間の安全なインターネット接続を自動的に起動し動的に確立するためのシステムおよび方法 Download PDFInfo
- Publication number
- JP2008505512A JP2008505512A JP2007508480A JP2007508480A JP2008505512A JP 2008505512 A JP2008505512 A JP 2008505512A JP 2007508480 A JP2007508480 A JP 2007508480A JP 2007508480 A JP2007508480 A JP 2007508480A JP 2008505512 A JP2008505512 A JP 2008505512A
- Authority
- JP
- Japan
- Prior art keywords
- client
- server
- connection
- party computer
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2567—NAT traversal for reachability, e.g. inquiring the address of a correspondent behind a NAT server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Abstract
本発明は、セッション制御サーバ(SCS)を使用し、サーバとクライアントとの間の安全な接続を自動的および動的に起動し、確立するためのシステムおよび方法に関する。サーバとクライアントの両者は、ネットワークアドレス変換器または変換(NAT)ミュータ、または、ファイアウォールを通じて、信頼できないネットワーク(例えばインターネットのような)と接続される。SCSは、サーバとクライアントの両者から個別に信頼され、必要な接続パラメーターを仲介してサーバとクライアントとの間に安全な接続を確立する。当該システムと方法は、クライアント上にいかなるユーザ設定も必要とせず、サーバがクライアントから明示接続要求またはパケットを受け取る必要性を排除し、これによってサーバのファイアウォールは常時、すべてのインバウンドトラフィックを遮断し続けることが可能となる。
Description
(関連出願の参照)
本出願は、米国特許仮出願第60/561,806号(2004年4月12日出願)に対する優先権を主張し、該出願はその全てが、本明細書において参考として援用される。
本出願は、米国特許仮出願第60/561,806号(2004年4月12日出願)に対する優先権を主張し、該出願はその全てが、本明細書において参考として援用される。
(技術分野)
本発明はコンピュータネットワーキング、および、ネットワークセキュリティの分野に関する。より具体的には、本発明は、それぞれがネットワークアドレス変換器ルータおよび/またはファイアウォールの背後に存在する、コンピュータ(例えばサーバ)と複数のコンピュータ(例えばクライアント)との間の、安全な接続を自動的かつ動的に開始および確立する方法に関する。
本発明はコンピュータネットワーキング、および、ネットワークセキュリティの分野に関する。より具体的には、本発明は、それぞれがネットワークアドレス変換器ルータおよび/またはファイアウォールの背後に存在する、コンピュータ(例えばサーバ)と複数のコンピュータ(例えばクライアント)との間の、安全な接続を自動的かつ動的に開始および確立する方法に関する。
インターネットは、接続されるコンピュータの数の急激な拡張を続けており、広く利用できるワイヤレス接続とポータブルコンピューティングデバイスへのトレンドは、一日ごとに接続する新しいコンピュータの数を飛躍的に増すであろうと予測されている。この急激な拡張は、許可されていないアクセスからコンピュータを守る必要性を急進的に増加し、インターネットネットワーク自身に対する多くの拡張性の問題をすでに引き起こしている。例えば、インターネットプロトコルバージョン4(IPv4)は、32ビットIP(インターネットプロトコル)アドレスを使い、これは、インターネット上のコンピュータの理論的な最大数が、約40億であることを意味する。しかし、実質的な限度は、IPアドレスが配分され送られるうえでの非効率のために、はるかに低い。このように、IPv4は、インターネットの現在の拡張のために十分な固有なアドレスを供給していない。インターネットプロトコル(IPv6)の新型のバージョンは、128ビットのアドレススペースを使い、IPアドレスをさらに多く供給するが、しかし、これが広範囲に及ぶ導入を達成するまでは、ほかの手法が、IPv4のアドレス限度を克服するために利用され、インターネット接続したコンピュータへのセキュリティ保持を提供するために利用される。
今日幅広く使用されている解決法の一つは、ネットワークアドレス変換(NAT)であり、これは、加入者のコンピュータが、たとえば、ウェブサーバのような、公共のインターネットサーバに接触し、接続しようとする時に、AOLやほかのインターネットサービスプロバイダー(ISP)のような、内部ネットワークで使われるプライベートアドレスが、公共のIPアドレスへと変換されるものである。一度にインターネットを通じて交信するコンピュータの数は、接続したが稼動していないコンピュータの総数よりもはるかに低く、現在交信しているもののみがNATによって公共のIPアドレスを指定され、それにより、IPアドレスの必要な数を減らしている。また、これは、インターネットから起動する接続を通じて到達できない、NATルータまたはファイアウォールの背後にあるコンピュータに対して匿名で与えられる、追加的なセキュリティを提供する。
NATルータは第一に、プライベートネットワーク内のクライアントマシンが安定したIPアドレス、およびドメイン名サービスまたはサーバ(DNS)名で公共のサーバへの接続を起動するように、クライアント/サーバパラダイムとしてデザインされている。
NATルータの背後の内部ホストの匿名性とアクセス不能性は、公共に利用できるサーバへの外部接続を起動することのみを必要とする、ウェブブラウザのようなクライアントのソフトウェアに対しては問題ではない。しかし、これは、ファイル共有、ゲームアプリケーション、ビデオ会議、ボイス・オーバー・IPインターネット電話機、などの、NATルータサーバを経由して到来する接続を通じて、クライアントへと安全に接続するためのサーバを必要とするアプリケーションに対しては、またはインターネットを通じて、クライアントにそれらに直接接続させないコンピュータサービスへの安全なアクセスに対しては、問題である。
コンピュータの一つがNATルータの背後にあるときには、他のコンピュータは、特別な手法および接続タイプ、ロケーション、サービス、または、NATルータ/ファイアウォールのタイプの全てを変えるのに必要とされる、しばしば複雑なマニュアル構成を利用せずに、それと接続することはできない。
したがって、NATによって設定されたアドレッシングおよび接続性の非対称性は、a)ワールドワイドウェブのような、外部のみのアプリケーションへの幅広く利用できるインターネットサービスへの保全に対して制限があること、b)潜在的に魅力のある大きな消費者市場の、多くの追加のインターネットアプリケーションおよびサービスの利用可能性および巨大市場の可能性が、現在利用できるNATやNATに関連する技術によって課せられる複雑な設定とシステム管理要求を管理できる、専門的に訓練された少数のユーザに制限されることなど、多くの問題を起こしている。
それ故に、上記に記された欠点を克服する、サーバとクライアントの間のインターネット接続を自動的に起動し、動的に確立するための方法およびシステムを提供することが、本発明の課題である。
本発明の実施形態に従って、その方法およびシステムは、それぞれがネットワークアドレス変換器または変換(NAT)ルータ、または、ファイアウォールを通じて信頼できないネットワーク(インターネットなど)と接続されている、サーバとファイアウォールを有するクライアントデバイス(クライアント)との間の接続を、好ましくは安全な接続を、自動的かつ動的に、起動し、確立するものである。本発明の安全な接続は、クライアント上のいかなるユーザ設定をも必要とせず、サーバによるクライアントからのいかなる明示接続要求、および/または、パケットを受信することなしに起動され、確立され、それによって有用にも、サーバファイアウォールをして常に、すべてのインバウンド(inbound)トラフィックを止めさせる。
本発明は、要求に応じて、サーバとクライアントとを安全に接続するために、インターネット上のネットワーク接続を指定するための動的に起動するバーチャルポイントを作成でき、それによって有用にも、一般のユーザに、今までになく容易な方法でサーバへの一つの単動アクセス(一度のマウスクリック、または、パワーオン、または、ネットワークプラグイン動作のような)を提供できる。
本発明の実施形態に従って、上記にあるようなシステムと方法は、サーバとクライアント間の接続、好ましくは安全な接続を確立するために必要とされる接続パラメーターを安全に仲立ちするために、サーバとクライアントの両者によって個別に信頼され、公共のIPアドレスを有するセッション制御サーバ(「SCS」)のような信頼できる当事者である、第3のコンピュータを利用できる。SCSは、サーバ/クライアント接続の設定に関与するのみであり、サーバとクライアントとの間のそれに続くコミュニケーション(すなわち、メッセージの交換)には関与しない。従って、本発明は、ここで検討されるリレーおよびほかのサーバに基ずく手法と関連する実行およびセキュリティの問題を回避する。
クライアントは、自身のアドレスを含む接続要求と、無作為に生成された固有の識別子(それぞれのサーバに対するそれぞれのクライアント接続要求に対して異なる)をSCSへ送信し、したがって、NATルータ、および/または、ファイアウォールにより隠されているクライアントの接続パラメーターをSCSに提供する。クライアントは、任意の新しいNATを有する(NAT−ted)ネットワークとの接続、およびそのネットワークパラメーターのいかなる変化においても、パワーオンで自動的に常にこのステップを実行するようにプログラミングされ得、かくして、いかなるユーザ設定または介入なしに、サーバとの安全な接続の自動的かつ動的な起動/確立、および再確立を提供する。
SCSは次いで、それぞれのクライアントとサーバにそれぞれの接続パラメーターを提供し、それらは、両者の間で安全に交換され、その結果として、最初にクライアントの接続パラメーターがサーバへ配信され一義的に特定され、最後に、前のステップの成功した完了を受けて、サーバはクライアントのNATルータまたはファイアウォールを通じてクライアントとの安全な接続を起動し、それによって、クライアントのNATルータまたはファイアウォールにより課されるインバウンドトラフィックの制限を安全に克服することによってなされる外部起動接続が可能となり、サーバが、信頼できないネットワークから到来する全てのインバウンドトラフィックに対して閉ざされた、それ自身のNATルータ/ファイアウォールを維持することが可能となる。
本発明の実施形態に従って、信頼できないネットワーク上で安全な接続を自動的に起動し動的に確立するためのシステムは、ファイアウォールまたはネットワークアドレス変換器(NAT)ルータを介して信頼できないネットワークと接続されるクライアントデバイス、ファイアウォールを介して信頼できないネットワークと接続され、いかなるクライアントデバイスからの明示接続要求またはパケットを受け入れないサーバ、およびクライアントデバイスを設定することなしにサーバとクライアントとの間で接続パラメーターを交換するための、信頼できないネットワークと接続される信頼できるコンピュータ、を備える。クライアントデバイスは、信頼できるコンピュータを介してサーバから固有の接続識別子を受信する。サーバのファイアウォールは、クライアントデバイスとサーバとの間の一時的なマッピングを動的に確立するために、クライアントデバイスから固有の接続識別子を備える未承諾の(unsolicited)パケットを受信する。クライアントデバイスから受信した未承諾のパケットの中の固有の接続識別子が、保存された固有の接続識別子と一致する場合には、サーバは、信頼できないネットワーク上に動的に確立された一時的なマッピングを使用して、クライアントデバイスに回答パケットを送信し、これによって、NATルータを通じてサーバとクライアントデバイスとの間の安全な接続を確立する。
現在の発明を十分理解するために、コンピュータの安全におけるあらゆる進歩をもってしても、インターネットは、本質的に安全でない環境であることを、理解しなければならない。なぜならば、「使いやすさ」の問題点を信頼できるアクセスの要素と調和させることは難しいからである。本発明は、不正ユーザが正当化されているように装う可能性を削除し、同時に一般のユーザが重荷に思う多くの要素を加えずに、事実上これを削除する、方法論的アプローチを提供することによって、この問題の核心をつく。
前述は、以下に続く発明の詳細な説明がよりよく理解され得るように、本発明の特徴と技術的な利点を、むしろ広範囲に述べている。本発明の特許請求の範囲の主題を構成する、本発明の追加の特徴と利点が以下に説明される。開示される特定の概念およびと実施形態は、本発明の同じ目的を実行するための他の構造を変更したり、設計するための基礎として容易に使用され得ることが、当業者によって理解されるべきである。また、このような均等の構造が、添付の特許請求の範囲に記載される本発明の精神および範囲から逸脱しないことが、当業者によって理解されるべきである。本発明の特徴であると信じられている、その組織および操作の方法の両方にかかわる新規の特徴は、さらなる目的と利益と共に、添付の図面と関連付けて考察されるときには、以下の説明からよりよく理解される。しかしながら、それぞれの図面は例示と説明のみの目的のために提供されており、本発明の限界の規定として意図されていないことは、明白に理解されるべきである。
本発明は、例として与えられ本発明をそこに制限することを意図しない、本明細書における説明を参照することによって理解され得、添付の図と関連してさらによく理解される。
本発明の実施形態に従って、そのシステムと方法は、サーバとファイアウォールを有するクライアントデバイスと間の接続、好ましくは、安全な接続を自動的かつ動的に起動し確立する。図1によると、サーバl100とクライアントデバイス(クライアント1200)が示され、両者は、ネットワークアドレス変換(NAT)ルータまたはファイアウォール1300を通じて信頼できないネットワーク1000(インターネットのような)と接続されている。サーバとクライアントとの間の接続は、クライアント1200にいかなるユーザ設定も必要とせず、サーバ1100によるクライアント1200からのいかなる明示接続要求、および/またはパケットを受信することなしに、起動され確立され、これによって、サーバファイアウォール1300は、常にすべてのインバウンドトラフィックを止めることができる。
実施形態にしたがって、本発明は、第3のコンピュータ1400を使用する。これは例えば、セッション制御サーバ(「SCS」)のような信頼できる当事者で、公共のIPアドレスをもち、サーバ1100とクライアント1200の両者に対して個別に信頼され安全に接続されるものである。クライアント1200は、自身のアドレスおよび無作為に生成された固有の識別子(それぞれのクライアントのサーバへの接続要求により異なる)を備える接続要求を、SCS1400へ送信し、それによって、SCS1400に、NATルータ1300によっておよび/またはファイアウォール1300によって隠されたクライアント接続パラメーターを提供する。本発明の局面にしたがって、クライアント1200は、いかなる新しいNATを有するネットワークとの接続に際して、そのネットワークパラメーターの如何なる変化に際して、常にパワーオンで自動的にこのステップを実行することができるようにプログラミングされ得、したがって、いかなるユーザ設定または介入なしに、サーバ1100との安全な接続の自動的かつ動的な起動/確立および再確立を提供する。
SCS1400は、クライアント1200とサーバ1100のそれぞれに、個々の接続パラメーターを提供し、それらは両者の間で安全に交換でき、その結果として、最初に、クライアントの接続パラメーターがサーバ1100に配送され、一義的に識別され、最後に、前のステップの正常の完了を受けて、サーバ1100が、クライアントのNATルータまたはファイアウォール1300を通じて、クライアント1200との安全な接続を起動し、これによって、クライアントNATルータまたはファイアウォール1300により課されたインバウンドトラフィックの制限を安全に克服することによって、外部起動接続がなされることが可能となり、サーバ1100が、自身のNATルータ/ファイアウォール1300をして、信頼できないネットワークから到来するすべてのインバウンドトラフィックを止めさせることができる。
SCSはサーバ/クライアント接続セットアップに関与するのみであり、サーバとクライアントの間の順次のコミュニケーション(すなわち、メッセージの交換)には関与しない。従って、本発明は、リレーおよび他のサーバに基づく手法に関連する実行およびセキュリティの問題を回避する。
リレー技術は、クライアント・サーバコミュニケーションの変化であり、両者が接続できる公共のIPアドレスを有するサーバを使用する、2つのクライアントに依存する。NATルータの背後の2つのクライアントは、お互いに直接接続できないが、それぞれ公共のIPアドレスを有するサーバに接続することができる。次いで、サーバは、リレーとして動き、1つのクライアントから他のクライアントへメッセージを転送する。この方法は、クライアントの間の全てのコミュニケーションをリレーするためにサーバに依頼することになり、クライアントに接続するためにサーバの利用できる処理能力と利用できるネットワーク帯域幅割り当てを使わなくてはならないので、その性能と拡張性は、これらのパラメーターに依存するという欠点がある。さらに、クライアント間のデータコミュニケーションの複製が、継続的にサーバ上で作られ、それによって、追加のセキュリティー脅威が発生する。
UDPホールパンチング技術は、ファイアウォールの一般行動に基づいており、それはアプリケーションに、NATルータを通して「パンチホール」させ、相互の直接接続を確立させる。
本発明の例示的な実施形態にしたがって、下記に、信頼できないネットワーク1000上で、NATルータまたはファイアウォール1300の背後のサーバ1100とクライアント1200との間の安全な接続を自動的に起動し確立するためのシステム、方法、コンピュータの命令を説明する。ここに説明される相互作用のすべては、インターネットのような信頼できないネットワーク1100の上で起こるということが理解される。また、ここに説明されるすべての相互作用は、安全でない接続上で起こり得るということも理解される。本発明の例示的な実施形態にしたがった、サーバ1100への自動的かつ動的なクライアント側の接続は、ここで、図2〜図8と関連して説明される。
図2に示されているように、サーバ1100は、ステップ2000においてSCS1400への安全な接続を起動し、確立(または、永久に維持)する。本発明の局面にしたがって、この接続は、IPSECのようなネットワークワークレイヤー(OSIレイヤー3)上で行われる。本発明の別の局面にしたがって、安全な接続は、セキュアソケットレイヤー(SSL)のような、アプリケーションレイヤー(OSIレイヤー7)メカニズムを使うことができる。サーバ1100とSCS1400との間のすべての順次のコミュニケーションは、この安全なコミュニケーションチャンネル上で行うことができる。
図3に表されているように、クライアント1200は、ステップ2010において、SCS1400との安全な接続を起動する。本発明の局面にしたがって、安全な接続は、セキュアソケットレイヤー(SSL)のような、アプリケーションレイヤー(OSIレイヤー7)メカニズムを使うことができる。クライアント1200とSCS1400との間のすべての順次のコミュニケーションは、この安全なコミュニケーションチャンネル上で行うことができる。
クライアント1200は、図4に示されているように、ステップ2020において、所望のサーバ1100と接続されるための要求をSCS1400に送信する。これは、ユーザ要求のようなクライアント起動事象の結果であり得、またはクライアント1200が、任意の新しいNATを有するネットワークとの接続や、そのネットワークパラメーターのいかなる変化にも対応して、パワーオンで常に自動的にこのステップを実行するようにプログラミングされ得、これによって、いかなるユーザ設定または介入なしに、サーバ1100との安全な接続の自動的かつ動的な起動/確立および、再確立を提供する。
SCS1400は、ステップ2030において、クライアントNAT公共アドレスである、特定のあて先のインバウンドポートを構成するサーバに固有のタグを送信し、無作為に生成された接続識別子(ID)をサーバ1400から受信する。本発明の実施形態にしたがって、サーバ1100によって提供されたあて先のインバウンドポートは、クライアント1200との安全な接続の起動、確立および使用を通じて、閉鎖したままであることが理解される。図5に示されているように、このSCSで提供される情報を使用して、サーバ1100は、サーバ1100によってクライアント1200に対して作られる可能性のある接続の、それ自身の終了を設定する。この設定の性質は、今後作られ、しかし一般にいくつかのキー生成と交換を含む、安全な接続の性質に依存する。たとえば、本発明の局面にしたがって、安全な接続は、IPSECのようなネットワークワークレイヤー(OSIレイヤー3)上で作られ得る。本発明の別の局面にしたがって、安全な接続は、セキュアソケットレイヤー(SSL)のような、アプリケーションレイヤー(OSIレイヤー7)メカニズムを使うことができる。
図6に示されているように、ステップ2040において、SCS1400は、サーバから提供されたIPアドレスおよびあて先のポートに、IDを含む未承諾のUDPまたはTCPパケットを送信するように、クライアント1200に指示する。SCS1400は、サーバ1100によってクライアント1200に作られる安全な接続のクライアント終了を設定する。また、クライアント側として、この設定の性質は、今後作られる、一般にいくつかのキー生成と交換を含む、安全な接続の性質に依存する。例えば、本発明の局面にしたがって、安全な接続は、セキュアソケットレイヤー(SSL)のような、アプリケーションレイヤー(OSIレイヤー7)メカニズムを使うことができる。
クライアント1200は、ステップ2050において、SCS1400によって提供されたサーバIPアドレスおよびあて先のポートに、UDPまたはTCPパケットを送信する。サーバ1100とサーバファイアウォール1300は、クライアント1200へつながらないままであることが理解される。これは、ステップ2050において、クライアント1200とサーバ1100との間の、クライアントNATルータ1300の中の一時的なマッピングを確立する。このマッピングは、クライアントの本当のIPアドレスとソースポート(プライベートサイド)と、NATの不当なクライアントIPアドレスとソースポート(パブリックサイド)との間の解釈を構成する。このマッピングは、作られた後の短時間で効果があり、それゆえに、マッピングが作成された特定の期間内に、サーバ1100がマッピングでクライアント1200と接続することを可能にする。
サーバファイアウォール1300は、ステップ2050において、UDPまたはTCPパケットを見て、その中のIDとNAT公共アドレスを、それがSCS1400から受取ったものと比較する。一致している場合には、サーバファイアウォール1300は、事象についてサーバ1100に告知する。それから、サーバファイアウォール1300は、図7に示されているように、ステップ2050において、未承諾のパケットを落とす、すなわち、そのパケットはサーバIPスタックに入ることができない。サーバファイアウォール1300は、それらがクエリーパケットであるかどうか確かめるために、特定のあて先のポート上の着信パケットをチェックしつづける。本発明の実施形態にしたがって、サーバファイアウォール1300は、真のクライアント1200を装ったホストによる接続要求のような、セキュリティへの攻撃から守るために、タグのすべて3つの要素をチェックする。サーバファイアウォール1300は、NAT公共アドレスから、特定のあて先ポートへ来るパケット、および、無作為に生成されるIDを含むパケットだけを考慮する。さらなるセキュリティ対策として、UDP/TCPパケットがこの技術の一部として暗号化され得る。
サーバ1100は、ステップ2060において、サーバファイアウォール1300によって転送されたソースポートを利用して、クライアント1200へのUDPまたはTCP接続を起動する。ステップ2050で作成されたNATマッピングは、適切な期間(UDPまたはTCPパケットを受取ってから少なくとも数秒)のあいだ有効であることが理解される。本発明の局面にしたがって、図8にあるように、ステップ2060において、サーバ1100はこの方法でNATを通じてクライアントに接続できる。
パワーオンや一回のマウスクリック、または一回のキーストライクのような一回の単一のユーザ動作以外の、いずれかのユーザ介入を必要とせずに、クライアント1200が違う接続場所に移動されるような、そのネットワークアドレスパラメーターの変化に応じて、クライアント1200がサーバ1100と自動的に接続、および動的に再接続されることを当業者は理解する。結果として、クライアント1200は、いかなるユーザ情報を注意する必要がなく、またはこの発明の実施形態を用いて、サーバ1100と接続されるためのいかなるユーザ機能を処理または実行する必要がないことが理解される。
例を用いて、本発明の実施形態にしたがって、TCP/SSLを介してインターネット上で、サーバ1100とステートレス(stateless)クライアント1200との間の安全な接続を確立することに対する発明の適用性が理解される。ステートレスクライアント1200は、一般にいかなるユーザ機能も実行しない、いかなるユーザデータも含まないコンピュータとして定義される。さらに正確にはステートレスクライアント1200は、CPU、メモリー、フレームバッファとネットワークポート、マウスとキーボード入力とオプショナルIOポートで構成されるネットワーク装置として組み立てられ得る。それはネットワークおよび表示管理固定機能を実行するだけの組み込み式ソフトウェアによって操作され、いかなるダウンロードおよび他のソフトウェアの実行はなされない。それは、いかなるアプリケーションも実行しない。唯一の目的は、リモートヒューマンインターフェイスデバイスであることである。組み込み式ソフトウェアは、インターネットのようなネットワーク上でサーバとのコミュニケーションのためにネットワークスタックを実行する。
クライアントがステートレスであることは、すべての遂行がサーバ側である、アプリケーションまたはコンピュータ環境と人間との相互関係を意味する。クライアントにはアプリケーション状態またはデータがいつも存在しない。それが所有する唯一の状態は一時的な性質のものであり、ネットワーク接続状態、すなわち、TCP接続状態に関係するものである。実施形態にしたがって、本発明は唯一、ここで詳細に説明されるように、TCP上のセキュリティーソケットレイヤー(SSL)を実行するためのステートレスクライアントのネットワークスタックを使用し、これ以降、いかなる状況においてもいかなるユーザ機能を実行できないような、サーバ1100とステートレスクライアント1200との間の安全な接続の自動的かつ動的な確立を可能とする。
ステートレスクライアント1200は、TCP/SSLを介してSCS1400と自動的に接続し、新しく確立された接続上で要求されたサーバ1100の名前を送信する。
SCS1400は、ソケット接続からステートレスクライアントIPアドレスを検出する。SCS1400は、要求されたサーバ名を読みとり、それが所望のサーバ1100との接続を有するかどうかを決定する。SCS1400が、所望のサーバ1100の接続を有しない場合には、SCS1400は、このような接続が得られるまで待つか,ステートレスクライアント1200に後で再試行するように指示するかのどちらかである。サーバ1100がSCS1400と接続している場合には、SCS1400は、サーバ1100にステートレスクライアントIPアドレスを送信する。サーバ1100は、ステートレスクライアントアドレスを読み取り、固有の32ビットの無作為な番号の識別子(ID)を生成し、そのIPアドレスとポートと共にIDをSCS1400に送信する。サーバ1100は次いで、IDの値に対してセットされた初期シーケンス番号を有するステートレスクライアント公共IPアドレスから「TCP SYN」(TCP接続要求)パケットを探知する(sniff)ように、そのファイアウォール1300に指示する。
一方では、SCS1400は、サーバIPアドレス、ポートおよびIDをステートレスクライアント1200に転送する。この点で、ステートレスクライアント1200は、IDの値に対してセットされた初期シーケンス番号を有するサーバIPアドレスとポートに対する未承諾のTCP接続要求を生成する。この外部向けのパケットは、サーバ1100へのいかなるNATでも準備し、また、ステートレスクライアントのネットワークスタックの底でSEQ変換層のIDとともに、サーバIPアドレスおよびポートを挿入する。このパケットが、サーバ1100に到着すると、サーバファイアウォール1300は、一致を探し、次の3つのタスクを実行する。すなわち、a)ステートレスクライアントのアドレス/ポート、サーバのアドレス/ポートおよびシーケンス番号を保存する、b)サーバ1100に通知し、ステートレスクライアントの公共ポートを提供する、c)パケットを送る。
サーバ1100は、サーバファイアウォール1300を横に繋げるステートレスクライアントIP/ポートへのTCP接続を開けている。サーバファイアウォール1300は、外部TCP接続要求(SYNフラッグは、設定)を見つけ、一致するものを探し、TCP ACKフラッグと認識番号を設定する。外部的に、パケットは、ステートレスクライアント1200から受信した未承諾のTCP接続要求への返答に似ており、それはNATゲートウェイを通じてステートレスクライアント1200へ戻ってくるものであることが、理解される。
ステートレスクライアント1200へのパケットの到着により、SEQ変換層はパケットをマッチングし、ステートレスクライアントTCPスタックがサーバ1100からの真の接続要求を見つけるように、TCP ACKフラッグを削除する。
ステートレスクライアントTCPスタックは接続を受け入れ、SYNとACKフラッグの双方を持つTCPパケットに応答する。このTCPパケットはSEQ変換層によってマッチングされ、それはSYNフラッグを削除し、ステートレスクライアント認識番号と以前に保存されたIDとの間の違いを保存する。ネットワーク上で、このTCPパケットは、TCPの3ウェイハンドシェークの第3の部分に似ていることが、理解される。
ステートレスクライアント1200からのTCPパケットがサーバファイアウォール1300に到着する時には、TCPパケットはマッチングされ、SYNフラッグが設定される。このTCPパケットは、接続要求への返答であるので、サーバファイアウォールを通過する。サーバ1100から来る真の第3のTCPハンドシェークパケットは、正常な認識パケットとして取り扱われるので、変更なしに通過する。ステートレスクライアント1200で、それぞれの到着するパケットは、以前に保存されたシーケンスの違いによって調整された認識番号を得、それぞれの外部に行くパケットは、違いによって調整されたシーケンス番号を得る。サーバ110とステートレスクライアント1200との間の接続の終了に、特定のフラッグマングリング(flag mangling)は必要でないことが、理解される。
本発明とその利点が詳細に説明されてきたが、ここに添付の特許請求の範囲によって規定される本発明の精神および範囲から逸脱することなく、様々な変更、置換、代替がなされ得ることが理解されるべきである。さらに、本出願の範囲は、明細書で説明された処理、装置、製造、物質の組み合わせ、手段、方法およびステップの、特別な実施形態に限定されることを意図しない。当業者が本発明の開示から容易に理解するように、現在存在する、またはここに記載された対応する実施形態と実質的に同じ機能を実行し、または実質的に同じ結果を達成するために、今後開発される、処理、装置、製造、物質の組み合わせ、手段、方法、またはステップが、本発明に従って使用され得る。したがって、本願の特許請求の範囲は、このような処理、装置、製造、物質の組み合わせ、手段、方法、またはステップを、その範囲内に含むことを意図する。
Claims (31)
- クライアントと、任意のクライアントからの明示接続要求またはパケットを受け入れないサーバとの間の、信頼できないネットワーク上の安全な接続を自動的に起動および動的に確立するための方法であって、該方法は、該サーバおよび該クライアントの両者によって信頼される第三者のコンピュータを使用し、該クライアントおよび該サーバのそれぞれがファイアウォールまたはネットワークアドレス変換器(NAT)ルータを介して該信頼できないネットワークと接続され、
パワーオン時の該クライアントのユーザによる単一操作の際、該信頼できないネットワークへの接続の際、または該クライアントのネットワークパラメーターにおける任意の変更の際に、該クライアントにより該第三者のコンピュータに接続要求を自動的に伝送するステップであって、該接続要求は該サーバと接続される要求を備える、ステップと、
該第三者のコンピュータを使用して、該サーバと該クライアントとの間で該信頼できないネットワーク上で接続パラメーターを交換するステップであって、該接続パラメーターは、該クライアントと関連するNATルータを通して該サーバと該クライアントとの間の安全な接続を確立するための固有の接続識別子を備え、これによって該クライアントの該ユーザに、該サーバへの単一操作によるアクセスを提供する、ステップと、
を包含する、方法。 - 前記クライアントと前記サーバとの間の一時的なマッピングを動的に確立するために、該サーバと関連するファイアウォールにより該クライアントから前記固有の接続識別子を備える未承諾のパケットを受信するステップと、
該未承諾のパケットの該固有の接続識別子が、保存された固有の接続識別子と一致すると決定された場合には、該サーバによって該信頼できないネットワーク上で該動的に確立された一時的なマッピングを使用して、該クライアントに返答パケットを伝送するステップと、
をさらに包含する、請求項1に記載の方法 - 前記クライアントのあて先インバウンドポートおよび該クライアントと関連する前記NATルータの公共アドレスを、前記第三者のコンピュータから前記サーバにより受信するステップと、
該サーバのあて先ポートと、該サーバと関連する前記ファイアウォールのIPアドレスと、該クライアントのための前記固有の接続識別子とを、該第三者のコンピュータに該サーバにより伝送するステップと、
をさらに包含する、請求項1に記載の方法 - 前記サーバの前記あて先ポートおよび該サーバと関連する前記ファイアウォールの前記IPアドレスとを使用し、該サーバに未承諾のパケットを送信するための命令を、前記第三者のコンピュータから前記クライアントにより受信するステップと、
該未承諾のパケットが、該クライアントと関連する前記NATルータの前記公共アドレスから該サーバの該あて先ポートで受信されることが決定された場合には、該クライアントへの返答パケットを該サーバにより伝送するステップと、
をさらに包含する、請求項3に記載の方法。 - 前記第三者のコンピュータから受信される前記クライアントの前記あて先インバウンドポートを使用して、該クライアントへの前記安全な接続を前記サーバにより起動するステップをさらに包含する、請求項3に記載の方法。
- 前記受信するステップは、前記サーバと関連する前記ファイアウォールにより、前記クライアントからの前記固有の接続識別子を備える未承諾のUDPまたはTCPパケットを受信するステップを包含する、請求項2に記載の方法。
- クライアントと、任意のクライアントからの明示接続要求またはパケットを受け入れないサーバとの間の、信頼できないネットワーク上の安全な接続を自動的に起動および動的に確立するための方法であって、該方法は、該サーバおよび該クライアントの両者によって信頼される第三者のコンピュータを使用し、該クライアントおよび該サーバのそれぞれがファイアウォールまたはネットワークアドレス変換器(NAT)を介して該信頼できないネットワークと接続され、
該第三者のコンピュータを使用して、該サーバと該クライアントとの間の該信頼できないネットワーク上で接続パラメーターを交換するステップであって、該接続パラメーターは固有の接続識別子を備える、ステップと、
該クライアントと該サーバとの間の一時的なマッピングを動的に確立するために、該サーバと関連するファイアウォールにより、該クライアントから該固有の接続識別子を備える未承諾のパケットを受信するステップと、
該未承諾のパケットの該固有の接続識別子が、保存された固有の接続識別子と一致すると決定された場合には、該サーバにより該信頼できないネットワーク上で該動的に確立された一時的なマッピングを使用して該クライアントに返答パケットを伝送するステップであって、これによって該クライアントと関連するNATルータを通じて該サーバと該クライアントとの間の安全な接続を確立する、ステップと、
を包含する、方法。 - 前記クライアントのあて先インバウンドポートおよび該クライアントと関連する前記NATルータの公共アドレスを、前記第三者のコンピュータから前記サーバにより受信するステップと、
該サーバのあて先ポートと、該サーバと関連する前記ファイアウォールのIPアドレスと、該クライアントのための前記固有の接続識別子とを、該第三者のコンピュータに該サーバにより伝送するステップと、
をさらに包含する、請求項7に記載の方法。 - 前記サーバの前記あて先ポートおよび該サーバと関連する前記ファイアウォールの前記IPアドレスとを使用し、該サーバに前記未承諾のパケットを送信するための命令を、前記第三者のコンピュータから前記クライアントにより受信するステップと、
該未承諾のパケットが、該クライアントと関連する前記NATルータの前記公共アドレスから該サーバの該あて先ポートで受信されることが決定された場合には、該クライアントへの前記返答パケットを該サーバにより伝送するステップと、
をさらに包含する、請求項8に記載の方法。 - 前記第三者のコンピュータから受信される前記クライアントの前記あて先インバウンドポートを使用し、該クライアントへの前記安全な接続を前記サーバにより起動するステップをさらに包含する、請求項8に記載の方法。
- 前記受信するステップは、前記クライアントからの前記固有の接続識別子を備える未承諾のUDPまたはTCPパケットを、前記サーバと関連する前記ファイアウォールにより受信するステップを包含する、請求項7に記載の方法。
- 前記クライアントにより前記第三者のコンピュータに接続要求を伝送するステップであって、該接続要求は前記サーバと接続される要求を備える、ステップをさらに包含する、請求項7に記載の方法。
- パワーオン時の前記クライアントのユーザによる単一操作の際、前記信頼できないネットワークへの接続の際、または該クライアントのネットワークパラメーターにおける任意の変更の際に、該クライアントにより前記第三者のコンピュータに前記接続要求を自動的に伝送するステップであって、これによって該クライアントの該ユーザに前記サーバへの単一操作によるアクセスを提供するステップをさらに包含する、請求項12に記載の方法。
- サーバおよびクライアントの両者によって信頼される第三者のコンピュータを使用して、該クライアントと、任意のクライアントからの明示接続要求またはパケットを受け入れない該サーバとの間の、信頼できないネットワーク上の安全な接続を自動的に起動および動的に確立するためのシステムであって、
該クライアントおよび該サーバのそれぞれが、ファイアウォールまたはネットワークアドレス変換器(NAT)を介して該信頼できないネットワークと接続され、
パワーオン時の該クライアントのユーザによる単一操作の際、該信頼できないネットワークへの接続の際、または前記クライアントのネットワークパラメーターにおける任意の変更の際に、該クライアントは該第三者のコンピュータに接続要求を自動的に伝送することができ、該接続要求は該サーバと接続される要求を備え、
該サーバおよび該クライアントは、該第三者のコンピュータを使用して該信頼できないネットワーク上で接続パラメーターを交換することができ、該接続パラメーターは、該クライアントと関連するNATルータを通じて該サーバと該クライアントとの間の安全な接続を確立するための固有の接続識別子を備え、これによって該クライアントの該ユーザに、該サーバへの単一操作によるアクセスを提供する、
システム。 - 前記サーバと関連するファイアウォールは、前記クライアントと該サーバとの間の一時的なマッピングを動的に確立するために、該クライアントからの前記固有の接続識別子を備える未承諾のパケットを受信することができ、
該未承諾のパケットの該固有の接続識別子が、保存された固有の接続識別子と一致すると決定された場合には、該サーバは、前記信頼できないネットワーク上で該動的に確立された一時的なマッピングを使用して該クライアントに返答パケットを伝送することができる、請求項14に記載のシステム。 - 前記サーバは、請求項1に記載の方法を受信することができ、該方法は、
前記クライアントのあて先インバウンドポートおよび該クライアントと関連する前記NATルータの公共アドレスを、前記第三者のコンピュータから該サーバにより受信するステップと、
該サーバのあて先ポートと、該サーバと関連する前記ファイアウォールのIPアドレスと、該クライアントのための該固有の接続識別子とを、該第三者のコンピュータに該サーバにより伝送するステップと、をさらに包含する、
請求項14に記載のシステム。 - 前記クライアントは、前記第三者のコンピュータから、前記サーバの前記あて先ポートおよび該サーバと関連する前記ファイアウォールの前記IPアドレスを使用して、該サーバに前記未承諾のパケットを送信するための命令を受信することができ、
該サーバは、該未承諾のパケットが、該クライアントと関連する前記NATルータの前記公共アドレスから該サーバの該あて先ポート上で受信されることが決定された場合には、該クライアントに返答パケットを伝送することができる、
請求項16に記載のシステム。 - 前記サーバは、前記第三者のコンピュータから受信された前記クライアントの前記あて先インバウンドポートを使用して、該クライアントとの前記安全な接続を起動することができる、請求項16に記載のシステム。
- 前記サーバは、前記クライアントから、前記固有の接続識別子を備える未承諾のUDPまたはTCPパケットを受信することができる、請求項15に記載のシステム。
- 前記クライアントは、いかなるユーザ機能も実行しない、またはいかなるユーザデータも含まない、ステートレスクライアントである、請求項14に記載のシステム。
- 前記クライアントは、単一機能のネットワーク認識消費者デバイスである、請求項14に記載のシステム。
- 前記単一機能のネットワーク認識消費者デバイスは、携帯電話、音楽プレイヤー/レコーダー、ビデオプレイヤー/レコーダー、ゲームプレイヤー、または、携帯型電子メールデバイスのうちの一つである、請求項21に記載のシステム。
- サーバおよびクライアントの両者によって信頼される第三者のコンピュータを使用して、該クライアントと、任意のクライアントからの明示接続要求またはパケットを受け入れない該サーバとの間の、信頼できないネットワーク上の安全な接続を自動的に起動および動的に確立するためのシステムであって、
該クライアントおよび該サーバのそれぞれが、ファイアウォールまたはネットワークアドレス変換器(NAT)を介して該信頼できないネットワークと接続され、
該サーバおよび該クライアントは、該第三者のコンピュータを使用して、該信頼できないネットワーク上で接続パラメーターを交換することができ、該接続パラメータは固有の接続識別子を備え、
該サーバと関連する該ファイアウォールは、該クライアントと該サーバとの間の一時的なマッピングを動的に確立するために、該クライアントから該固有の接続識別子を含む未承諾のパケットを受信することができ、
該未承諾のパケットの該固有の接続識別子が、保存されている固有の接続識別子と一致すると決定された場合には、該サーバは、該信頼できないネットワーク上で該動的に確立された一時的なマッピングを使用して、該クライアントへの返答パケットを伝送することができ、これによって、該クライアントと関連する該NATルータを通じて、該サーバと該クライアントとの間の安全な接続を確立する、
システム。 - 前記サーバは、前記第三者のコンピュータから前記クライアントのあて先インバウンドポートおよび該クライアントと関連する前記NATルータの公共アドレスを受信することができ、
該クライアントは、該第三者のコンピュータから該サーバのあて先ポートおよびIPアドレス、および前記固有の接続識別子を受信することができる、
請求項23に記載のシステム。 - 前記クライアントは、前記第三者のコンピュータから、前記サーバに前記未承諾のパケットを送信する命令を受信することができ、
該サーバは、該未承諾のパケットが、該クライアントと関連する前記NATルータの前記公共アドレスから該サーバの前記あて先ポートで受信されることが決定された場合には、該クライアントに返答パケットを伝送することができる、
請求項24に記載のシステム。 - 前記サーバは、前記第三者のコンピュータから受信された前記クライアントの前記あて先インバウンドポートを使用して、該クライアントとの前記安全な接続を起動することができる、請求項23に記載のシステム。
- 前記クライアントは、いかなるユーザ機能も実行しない、またはいかなるユーザデータも含まない、ステートレスクライアントである、請求項23に記載のシステム。
- 前記クライアントは、単一機能のネットワーク認識消費者デバイスである、請求項23に記載のシステム。
- 前記単一機能のネットワーク認識消費者デバイスは、携帯電話、音楽プレイヤー/レコーダー、ビデオプレイヤー/レコーダー、ゲームプレイヤー、または、携帯型電子メールデバイスのうちの一つである、請求項28に記載のシステム。
- 前記クライアントは、前記第三者のコンピュータに接続要求を伝送することができ、該接続要求は前記サーバと接続される要求を備える、請求項23に記載のシステム。
- パワーオン時の前記クライアントのユーザによる単一操作の際、前記信頼できないネットワークへの接続の際、または前記第三者のコンピュータへの該クライアントのネットワークパラメーターにおける任意の変更の際に、該クライアントは前記接続要求を自動的に伝送することができ、これによって該クライアントのユーザに、前記サーバへの単一操作によるアクセスを提供する、請求項30に記載のシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US56180604P | 2004-04-12 | 2004-04-12 | |
| PCT/US2005/012454 WO2005101747A2 (en) | 2004-04-12 | 2005-04-12 | System and method for automatically initiating and dynamically establishing secure internet connections between a fire-walled server and a fire-walled client |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010288748A Division JP2011072038A (ja) | 2004-04-12 | 2010-12-24 | ファイアウォールを有するサーバとファイアウォールを有するクライアントとの間の安全なインターネット接続を自動的に起動し動的に確立するためのシステムおよび方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008505512A true JP2008505512A (ja) | 2008-02-21 |
Family
ID=35150655
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007508480A Pending JP2008505512A (ja) | 2004-04-12 | 2005-04-12 | ファイアウォールを有するサーバとファイアウォールを有するクライアントとの間の安全なインターネット接続を自動的に起動し動的に確立するためのシステムおよび方法 |
| JP2010288748A Withdrawn JP2011072038A (ja) | 2004-04-12 | 2010-12-24 | ファイアウォールを有するサーバとファイアウォールを有するクライアントとの間の安全なインターネット接続を自動的に起動し動的に確立するためのシステムおよび方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010288748A Withdrawn JP2011072038A (ja) | 2004-04-12 | 2010-12-24 | ファイアウォールを有するサーバとファイアウォールを有するクライアントとの間の安全なインターネット接続を自動的に起動し動的に確立するためのシステムおよび方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (3) | US20050238034A1 (ja) |
| EP (1) | EP1738530A2 (ja) |
| JP (2) | JP2008505512A (ja) |
| KR (1) | KR20070041438A (ja) |
| CN (1) | CN101095134A (ja) |
| AU (1) | AU2005234496A1 (ja) |
| BR (1) | BRPI0509900A (ja) |
| CA (1) | CA2562912A1 (ja) |
| WO (1) | WO2005101747A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8433289B2 (en) | 2011-06-22 | 2013-04-30 | Fujitsu Limited | Communication apparatus |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004023263A2 (en) * | 2002-09-09 | 2004-03-18 | Netrake Corporation | System for allowing network traffic through firewalls |
| JP4421946B2 (ja) * | 2004-05-31 | 2010-02-24 | 京セラ株式会社 | 通信端末装置およびその通信方法 |
| US20060072569A1 (en) * | 2004-10-04 | 2006-04-06 | Wizzysoft Corporation | Network address translation protocol for transmission control protocol connections |
| EP1868323A1 (en) * | 2005-03-22 | 2007-12-19 | NEC Corporation | Connection parameter setting system, method thereof, access point, server, radio terminal, and parameter setting device |
| KR20080032114A (ko) * | 2005-06-23 | 2008-04-14 | 엑스디에스, 인코포레이티드 | 이동 장치의 네트워크 어드레스 변경을 위한 방법 및 장치 |
| NO20055084L (no) * | 2005-10-31 | 2007-05-02 | Telenor Asa | System og fremgangsmate for etablering av en forbindelse mellom en klient i et nettverk og en web-tjeneste i et annet nettverk |
| US8788706B2 (en) * | 2006-02-27 | 2014-07-22 | Vudu, Inc. | Method and system for managing data transmission between devices behind network address translators (NATs) |
| US7706373B2 (en) * | 2006-11-01 | 2010-04-27 | Nuvoiz, Inc. | Session initiation and maintenance while roaming |
| WO2008082483A1 (en) * | 2006-12-21 | 2008-07-10 | Simtone Corporation | Service chaining methods and apparatus |
| US20080225749A1 (en) * | 2007-03-13 | 2008-09-18 | Dennis Peng | Auto-configuration of a network device |
| US10469556B2 (en) * | 2007-05-31 | 2019-11-05 | Ooma, Inc. | System and method for providing audio cues in operation of a VoIP service |
| US9225626B2 (en) | 2007-06-20 | 2015-12-29 | Ooma, Inc. | System and method for providing virtual multiple lines in a communications system |
| US7707294B2 (en) * | 2007-06-26 | 2010-04-27 | Microsoft Corporation | Edge traversal service dormancy |
| US8056890B2 (en) * | 2007-07-02 | 2011-11-15 | William Thomas Engel | Cut mat |
| US20090168755A1 (en) * | 2008-01-02 | 2009-07-02 | Dennis Peng | Enforcement of privacy in a VoIP system |
| US8515021B2 (en) * | 2008-02-25 | 2013-08-20 | Ooma, Inc. | System and method for providing personalized reverse 911 service |
| US8374188B2 (en) * | 2008-06-24 | 2013-02-12 | Microsoft Corporation | Techniques to manage a relay server and a network address translator |
| EP2394414B1 (en) * | 2009-02-06 | 2018-10-17 | XMedius Solutions Inc. | Nat traversal using hole punching |
| KR20100134433A (ko) * | 2009-06-15 | 2010-12-23 | 엘지전자 주식회사 | 기능 제어부를 갖는 이동 단말기 |
| US20110219443A1 (en) * | 2010-03-05 | 2011-09-08 | Alcatel-Lucent Usa, Inc. | Secure connection initiation with hosts behind firewalls |
| US8681973B2 (en) * | 2010-09-15 | 2014-03-25 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for performing homomorphic encryption and decryption on individual operations |
| US9774916B2 (en) * | 2011-11-10 | 2017-09-26 | Throughtek Technology (Shenzhen) Co., Ltd. | Information concentrating center capable of making P2P connections with remote client devices |
| JP5835846B2 (ja) * | 2012-08-29 | 2015-12-24 | 株式会社日立製作所 | ネットワークシステム及び仮想ノードのマイグレーション方法 |
| US9166952B2 (en) * | 2012-10-15 | 2015-10-20 | Thales Canada Inc | Security device bank and a system including the and SD security device bank |
| CN102946387B (zh) * | 2012-11-01 | 2016-12-21 | 惠州Tcl移动通信有限公司 | 一种防御拒接服务攻击的方法 |
| US20140223514A1 (en) | 2013-02-01 | 2014-08-07 | Junaid Islam | Network Client Software and System Validation |
| US20140247941A1 (en) * | 2013-03-01 | 2014-09-04 | Oplink Communications, Inc. | Self-configuring wireless network |
| US9386010B2 (en) * | 2013-05-02 | 2016-07-05 | Globalfoundries Inc. | Abstracted authenticated client connectivity application programming interface (API) |
| US9560198B2 (en) | 2013-09-23 | 2017-01-31 | Ooma, Inc. | Identifying and filtering incoming telephone calls to enhance privacy |
| US9386148B2 (en) | 2013-09-23 | 2016-07-05 | Ooma, Inc. | Identifying and filtering incoming telephone calls to enhance privacy |
| CN104767789B (zh) * | 2014-01-07 | 2018-10-09 | 物联智慧科技(深圳)有限公司 | 能与远程客户装置建立点对点连接的信息聚集中心 |
| US10769931B2 (en) | 2014-05-20 | 2020-09-08 | Ooma, Inc. | Network jamming detection and remediation |
| US10553098B2 (en) | 2014-05-20 | 2020-02-04 | Ooma, Inc. | Appliance device integration with alarm systems |
| US9633547B2 (en) | 2014-05-20 | 2017-04-25 | Ooma, Inc. | Security monitoring and control |
| US11330100B2 (en) | 2014-07-09 | 2022-05-10 | Ooma, Inc. | Server based intelligent personal assistant services |
| US9288272B2 (en) * | 2014-07-10 | 2016-03-15 | Real Innovations International Llc | System and method for secure real-time cloud services |
| US10911368B2 (en) | 2015-05-08 | 2021-02-02 | Ooma, Inc. | Gateway address spoofing for alternate network utilization |
| US11171875B2 (en) | 2015-05-08 | 2021-11-09 | Ooma, Inc. | Systems and methods of communications network failure detection and remediation utilizing link probes |
| US10009286B2 (en) | 2015-05-08 | 2018-06-26 | Ooma, Inc. | Communications hub |
| US10771396B2 (en) | 2015-05-08 | 2020-09-08 | Ooma, Inc. | Communications network failure detection and remediation |
| US9521069B2 (en) | 2015-05-08 | 2016-12-13 | Ooma, Inc. | Managing alternative networks for high quality of service communications |
| US10116796B2 (en) | 2015-10-09 | 2018-10-30 | Ooma, Inc. | Real-time communications-based internet advertising |
| US10021117B2 (en) * | 2016-01-04 | 2018-07-10 | Bank Of America Corporation | Systems and apparatus for analyzing secure network electronic communication and endpoints |
| US10469262B1 (en) | 2016-01-27 | 2019-11-05 | Verizon Patent ad Licensing Inc. | Methods and systems for network security using a cryptographic firewall |
| CN106096923A (zh) * | 2016-06-27 | 2016-11-09 | 联想(北京)有限公司 | 一种安全支付防护方法及电子设备 |
| TWI608749B (zh) * | 2016-08-31 | 2017-12-11 | 群暉科技股份有限公司 | 用來控制一客戶端裝置存取一網路裝置之方法以及控制裝置 |
| US10554480B2 (en) | 2017-05-11 | 2020-02-04 | Verizon Patent And Licensing Inc. | Systems and methods for maintaining communication links |
| US10917384B2 (en) * | 2017-09-12 | 2021-02-09 | Synergex Group | Methods, systems, and media for modifying firewalls based on dynamic IP addresses |
| US11201925B2 (en) | 2020-04-28 | 2021-12-14 | Caterpillar Inc. | Communicating parameters based on a change |
| EP4002798A1 (de) * | 2020-11-17 | 2022-05-25 | Wobben Properties GmbH | Verfahren zum herstellen einer datenverbindung zu einem windpark sowie windparkkommunikationssystem |
| CN114598532B (zh) * | 2022-03-11 | 2023-07-28 | 北京百度网讯科技有限公司 | 连接建立方法、装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10285216A (ja) * | 1997-03-28 | 1998-10-23 | Internatl Business Mach Corp <Ibm> | セキュリティ保護通信トンネリングの方法及び装置 |
| WO2002067531A1 (en) * | 2001-02-20 | 2002-08-29 | Eyeball Networks Inc. | Method and apparatus to permit data transmission to traverse firewalls |
| WO2002103964A1 (en) * | 2001-06-18 | 2002-12-27 | Sony Corporation | Data transmission apparatus, data transmission method, and data transmission method program |
| JP2005525750A (ja) * | 2002-05-13 | 2005-08-25 | ソニー・コンピュータ・エンタテインメント・アメリカ・インク | ネットワークアドレス変換(nat)によるピアツーピアネットワーク通信 |
Family Cites Families (61)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA1337132C (en) * | 1988-07-15 | 1995-09-26 | Robert Filepp | Reception system for an interactive computer network and method of operation |
| US5623605A (en) * | 1994-08-29 | 1997-04-22 | Lucent Technologies Inc. | Methods and systems for interprocess communication and inter-network data transfer |
| US5621660A (en) * | 1995-04-18 | 1997-04-15 | Sun Microsystems, Inc. | Software-based encoder for a software-implemented end-to-end scalable video delivery system |
| US5918051A (en) * | 1995-07-19 | 1999-06-29 | Ricoh Company, Ltd. | Object-oriented communication system with support for multiple remote machine types |
| US7092369B2 (en) * | 1995-11-17 | 2006-08-15 | Symbol Technologies, Inc. | Communications network with wireless gateways for mobile terminal access |
| US7130888B1 (en) * | 1996-02-16 | 2006-10-31 | G&H Nevada-Tek | Method and apparatus for controlling a computer over a TCP/IP protocol network |
| US5802178A (en) * | 1996-07-30 | 1998-09-01 | Itt Industries, Inc. | Stand alone device for providing security within computer networks |
| US5896499A (en) * | 1997-02-21 | 1999-04-20 | International Business Machines Corporation | Embedded security processor |
| US6154843A (en) * | 1997-03-21 | 2000-11-28 | Microsoft Corporation | Secure remote access computing system |
| US6202156B1 (en) * | 1997-09-12 | 2001-03-13 | Sun Microsystems, Inc. | Remote access-controlled communication |
| GB2330034A (en) * | 1997-10-01 | 1999-04-07 | Northern Telecom Ltd | A narrowband to broadband interface for a communications system |
| US6425005B1 (en) * | 1997-10-06 | 2002-07-23 | Mci Worldcom, Inc. | Method and apparatus for managing local resources at service nodes in an intelligent network |
| US6104392A (en) * | 1997-11-13 | 2000-08-15 | The Santa Cruz Operation, Inc. | Method of displaying an application on a variety of client devices in a client/server network |
| US6362836B1 (en) * | 1998-04-06 | 2002-03-26 | The Santa Cruz Operation, Inc. | Universal application server for providing applications on a variety of client devices in a client/server network |
| EP1032886B1 (en) * | 1997-11-14 | 2009-03-18 | Microsoft Corporation | Server operating system for supporting multiple client-server sessions and dynamic reconnection of users to previous sessions |
| US6085247A (en) * | 1998-06-08 | 2000-07-04 | Microsoft Corporation | Server operating system for supporting multiple client-server sessions and dynamic reconnection of users to previous sessions using different computers |
| US6216157B1 (en) * | 1997-11-14 | 2001-04-10 | Yahoo! Inc. | Method and apparatus for a client-server system with heterogeneous clients |
| US6038616A (en) * | 1997-12-15 | 2000-03-14 | Int Labs, Inc. | Computer system with remotely located interface where signals are encoded at the computer system, transferred through a 4-wire cable, and decoded at the interface |
| US6178438B1 (en) * | 1997-12-18 | 2001-01-23 | Alcatel Usa Sourcing, L.P. | Service management system for an advanced intelligent network |
| US6038301A (en) * | 1997-12-31 | 2000-03-14 | Alcatel Usa Sourcing, L.P. | Method and system for engineering a service in an advanced intelligent network |
| US6044403A (en) * | 1997-12-31 | 2000-03-28 | At&T Corp | Network server platform for internet, JAVA server and video application server |
| US6233577B1 (en) * | 1998-02-17 | 2001-05-15 | Phone.Com, Inc. | Centralized certificate management system for two-way interactive communication devices in data networks |
| US6510216B1 (en) * | 1998-03-23 | 2003-01-21 | Mci Communications Corporation | Intelligent network provisioning system and method |
| US6230296B1 (en) * | 1998-04-20 | 2001-05-08 | Sun Microsystems, Inc. | Method and apparatus for providing error correction |
| US6438141B1 (en) * | 1998-04-20 | 2002-08-20 | Sun Microsystems, Inc. | Method and management of communications over media of finite bandwidth |
| US6223289B1 (en) * | 1998-04-20 | 2001-04-24 | Sun Microsystems, Inc. | Method and apparatus for session management and user authentication |
| US6209031B1 (en) * | 1998-07-17 | 2001-03-27 | International Business Machines Corporation | Configuring computer network operations based upon a sequence of interactive user entries into a network server computer with a one time entry of data commonly required by multiple clients |
| US6549908B1 (en) * | 1998-11-18 | 2003-04-15 | Siebel Systems, Inc. | Methods and apparatus for interpreting user selections in the context of a relation distributed as a set of orthogonalized sub-relations |
| US7143093B1 (en) * | 1998-12-17 | 2006-11-28 | Webmethods, Inc. | Enterprise computer system |
| US6505248B1 (en) * | 1999-03-24 | 2003-01-07 | Gte Data Services Incorporated | Method and system for monitoring and dynamically reporting a status of a remote server |
| US6591306B1 (en) * | 1999-04-01 | 2003-07-08 | Nec Corporation | IP network access for portable devices |
| US6711610B1 (en) * | 1999-09-10 | 2004-03-23 | International Business Machines Corporation | System and method for establishing secure internet communication between a remote computer and a host computer via an intermediate internet computer |
| US6874088B1 (en) * | 1999-10-22 | 2005-03-29 | Mission Critical Linux, Llc | Secure remote servicing of a computer system over a computer network |
| US6886103B1 (en) * | 1999-10-28 | 2005-04-26 | Lucent Technologies Inc. | Method and apparatus for extending network address translation for unsupported protocols |
| US6643701B1 (en) * | 1999-11-17 | 2003-11-04 | Sun Microsystems, Inc. | Method and apparatus for providing secure communication with a relay in a network |
| GB2357226B (en) * | 1999-12-08 | 2003-07-16 | Hewlett Packard Co | Security protocol |
| GB2357227B (en) * | 1999-12-08 | 2003-12-17 | Hewlett Packard Co | Security protocol |
| US7103770B2 (en) * | 2000-01-27 | 2006-09-05 | Web Data Solutions, Inc. | Point-to-point data streaming using a mediator node for administration and security |
| US6981041B2 (en) * | 2000-04-13 | 2005-12-27 | Aep Networks, Inc. | Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities |
| US20010042202A1 (en) * | 2000-04-14 | 2001-11-15 | Horvath Charles J. | Dynamically extendible firewall |
| CA2309398C (en) * | 2000-05-24 | 2012-02-21 | Steven P. Meyer | A system, computer product and method for providing a private communication portal |
| US20020065949A1 (en) * | 2000-06-14 | 2002-05-30 | Dennis Heaton | Virtual network computing |
| US7278142B2 (en) * | 2000-08-24 | 2007-10-02 | Veritas Operating Corporation | Dynamic computing environment using remotely allocable resources |
| US6915347B2 (en) * | 2000-10-17 | 2005-07-05 | Sun Microsystems, Inc. | Associating multiple display units in a grouped server environment |
| US7035828B2 (en) * | 2000-10-25 | 2006-04-25 | Topmoxie, Inc. | Method and system for modifying and transmitting data between a portable computer and a network |
| US7003668B2 (en) * | 2000-11-03 | 2006-02-21 | Fusionone, Inc. | Secure authentication of users via intermediate parties |
| US6944860B2 (en) * | 2001-01-16 | 2005-09-13 | Sun Microsystems, Inc. | Method and apparatus for representing and encapsulating active computing environments |
| US7082614B2 (en) * | 2001-03-08 | 2006-07-25 | Sun Microsystems, Inc. | System for identification of smart cards |
| US6999912B2 (en) * | 2001-03-13 | 2006-02-14 | Microsoft Corporation | Provisioning computing services via an on-line networked computing environment |
| US6931449B2 (en) * | 2001-03-22 | 2005-08-16 | Sun Microsystems, Inc. | Method migrating open network connections |
| US7124191B2 (en) * | 2001-06-26 | 2006-10-17 | Eastman Kodak Company | Method and system for managing images over a communication network |
| US7117267B2 (en) * | 2001-06-28 | 2006-10-03 | Sun Microsystems, Inc. | System and method for providing tunnel connections between entities in a messaging system |
| US6954792B2 (en) * | 2001-06-29 | 2005-10-11 | Sun Microsystems, Inc. | Pluggable authentication and access control for a messaging system |
| US7353281B2 (en) * | 2001-08-06 | 2008-04-01 | Micron Technology, Inc. | Method and system for providing access to computer resources |
| US20030061301A1 (en) * | 2001-09-25 | 2003-03-27 | Frank Chethik | Music on demand system and method |
| US7010608B2 (en) * | 2001-09-28 | 2006-03-07 | Intel Corporation | System and method for remotely accessing a home server while preserving end-to-end security |
| US20030084103A1 (en) * | 2001-10-29 | 2003-05-01 | Comverse, Ltd. | Method and system for third-party initiation of an anonymous tele-chat session |
| KR100422252B1 (ko) * | 2001-12-20 | 2004-03-11 | 삼성전자주식회사 | 씬 클라이언트 네트워크 시스템과 그 네트워크 시스템의데이터 전송 방법 |
| US6934706B1 (en) * | 2002-03-22 | 2005-08-23 | International Business Machines Corporation | Centralized mapping of security credentials for database access operations |
| US7363363B2 (en) * | 2002-05-17 | 2008-04-22 | Xds, Inc. | System and method for provisioning universal stateless digital and computing services |
| US7069438B2 (en) * | 2002-08-19 | 2006-06-27 | Sowl Associates, Inc. | Establishing authenticated network connections |
-
2005
- 2005-04-12 WO PCT/US2005/012454 patent/WO2005101747A2/en active Application Filing
- 2005-04-12 JP JP2007508480A patent/JP2008505512A/ja active Pending
- 2005-04-12 CN CNA2005800155622A patent/CN101095134A/zh active Pending
- 2005-04-12 KR KR1020067023609A patent/KR20070041438A/ko not_active Application Discontinuation
- 2005-04-12 US US11/104,982 patent/US20050238034A1/en not_active Abandoned
- 2005-04-12 AU AU2005234496A patent/AU2005234496A1/en not_active Abandoned
- 2005-04-12 BR BRPI0509900-5A patent/BRPI0509900A/pt not_active IP Right Cessation
- 2005-04-12 CA CA002562912A patent/CA2562912A1/en not_active Abandoned
- 2005-04-12 EP EP05735923A patent/EP1738530A2/en not_active Withdrawn
-
2010
- 2010-07-21 US US12/840,356 patent/US20110066739A1/en not_active Abandoned
- 2010-12-24 JP JP2010288748A patent/JP2011072038A/ja not_active Withdrawn
-
2012
- 2012-05-09 US US13/467,437 patent/US8631139B2/en not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10285216A (ja) * | 1997-03-28 | 1998-10-23 | Internatl Business Mach Corp <Ibm> | セキュリティ保護通信トンネリングの方法及び装置 |
| WO2002067531A1 (en) * | 2001-02-20 | 2002-08-29 | Eyeball Networks Inc. | Method and apparatus to permit data transmission to traverse firewalls |
| JP2004528748A (ja) * | 2001-02-20 | 2004-09-16 | アイボール ネットワークス インコーポレイテッド | ファイアウォールを通過してデータを送信可能にする方法および装置 |
| WO2002103964A1 (en) * | 2001-06-18 | 2002-12-27 | Sony Corporation | Data transmission apparatus, data transmission method, and data transmission method program |
| JP2005525750A (ja) * | 2002-05-13 | 2005-08-25 | ソニー・コンピュータ・エンタテインメント・アメリカ・インク | ネットワークアドレス変換(nat)によるピアツーピアネットワーク通信 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8433289B2 (en) | 2011-06-22 | 2013-04-30 | Fujitsu Limited | Communication apparatus |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2562912A1 (en) | 2005-10-27 |
| US20120222108A1 (en) | 2012-08-30 |
| EP1738530A2 (en) | 2007-01-03 |
| US20110066739A1 (en) | 2011-03-17 |
| US8631139B2 (en) | 2014-01-14 |
| US20050238034A1 (en) | 2005-10-27 |
| WO2005101747A3 (en) | 2007-09-13 |
| CN101095134A (zh) | 2007-12-26 |
| BRPI0509900A (pt) | 2007-09-18 |
| KR20070041438A (ko) | 2007-04-18 |
| JP2011072038A (ja) | 2011-04-07 |
| WO2005101747A2 (en) | 2005-10-27 |
| AU2005234496A1 (en) | 2005-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8631139B2 (en) | System and method for automatically initiating and dynamically establishing secure internet connections between a fire-walled server and a fire-walled client | |
| EP1714434B1 (en) | Addressing method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes | |
| US9467327B2 (en) | Server-mediated setup and maintenance of peer-to-peer client computer communications | |
| EP2790387B1 (en) | Method and system for providing connectivity for an ssl/tls server behind a restrictive firewall or nat | |
| US7305546B1 (en) | Splicing of TCP/UDP sessions in a firewalled network environment | |
| Rosenberg et al. | TCP Candidates with Interactive Connectivity Establishment (ICE) | |
| US20070195800A1 (en) | Communication using private IP addresses of local networks | |
| US8266294B2 (en) | Routing hints | |
| IL173157A (en) | Routing hints | |
| CN113542389A (zh) | 用于私有通信架构的私有云端路由服务器连接机制 | |
| US10412122B1 (en) | Dynamic per-session NAT-behavior selection | |
| EP3815310A1 (en) | Communications bridge | |
| GB2496380A (en) | Private cloud server and client architecture using e-mail/SMS to establish communication | |
| Komu et al. | Basic host identity protocol (HIP) extensions for traversal of network address translators | |
| TWI769965B (zh) | 用於私有通訊架構的連接方法與電腦可讀取媒體 | |
| JP5758461B2 (ja) | 通信方法、外部情報処理装置、内部情報処理装置及びプログラム | |
| Kim et al. | A cooperative authentication of ipsec and send mechanisms in ipv6 environments | |
| Rosenberg et al. | RFC 6544: TCP Candidates with Interactive Connectivity Establishment (ICE) | |
| Asghar et al. | Security issues of SIP | |
| Egeland et al. | Peer-to-Peer IP Telephony | |
| Komu et al. | RFC 5770: Basic Host Identity Protocol (HIP) Extensions for Traversal of Network Address Translators | |
| CA2531678A1 (en) | Method and system for facilitating client computer communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080411 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100623 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100916 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100928 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110307 |