JP2008521076A - クライアント識別情報をサーバに提供するための装置および方法 - Google Patents

クライアント識別情報をサーバに提供するための装置および方法 Download PDF

Info

Publication number
JP2008521076A
JP2008521076A JP2007540207A JP2007540207A JP2008521076A JP 2008521076 A JP2008521076 A JP 2008521076A JP 2007540207 A JP2007540207 A JP 2007540207A JP 2007540207 A JP2007540207 A JP 2007540207A JP 2008521076 A JP2008521076 A JP 2008521076A
Authority
JP
Japan
Prior art keywords
identification information
server
client identification
client
tagged packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007540207A
Other languages
English (en)
Other versions
JP2008521076A5 (ja
JP5031574B2 (ja
Inventor
ウオーキン,レブ
Original Assignee
ネトリ,インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ネトリ,インコーポレーテッド filed Critical ネトリ,インコーポレーテッド
Publication of JP2008521076A publication Critical patent/JP2008521076A/ja
Publication of JP2008521076A5 publication Critical patent/JP2008521076A5/ja
Application granted granted Critical
Publication of JP5031574B2 publication Critical patent/JP5031574B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Abstract

クライアント識別情報をサーバに提供するための装置はインテリジェント中間装置内にサーバに送信されるクライアント識別情報を含む、少なくとも1つのタグ付きパケットを生成するように構成されるタグ付加器と、少なくとも1つのタグ付きパケットからクライアント識別情報を取得し、このクライアント識別情報をサーバにあるアプリケーションに提供するように構成されるインターセプタとを備える。一実施例では、タグ付加器がクライアント識別情報を少なくとも1つのタグ付きパケットのデータ部に挿入するように構成される。別の実施例では、タグ付加器がクライアント識別情報を少なくとも1つのタグ付きパケットのプロトコル・ヘッダに挿入するように構成される。

Description

本発明は、一般に電子ネットワークに係り、特にクライアント識別情報をサーバに提供するための装置および方法に関する。
多くのクライアント−サーバ・ネットワークにおいて、クライアントとサーバとは少なくとも多様な中間装置を通して直接交信しない。ウェブ・プロクシのようなあるデバイスはクライアントからのコネクションを終了させ、新たなコネクションをサーバに対して開く。コンテンツを要求するために中間装置がクライアントに代わってサーバを使用してコネクションを確立するとき、サーバは仮に中間装置がないものとして、その要求の最初のソースあるいはインターネット・プロトコル(IP)アドレスのようなソースの他の属性を見出すのと同様な方法を用いても、それらを決定することができない。しばしばサーバはその要求に関係する直接のソースが中間装置であると理解する。
サーバがコンテンツを求める要求の、典型的にはクライアントである最初のソースに付けられたIPアドレスを確認しなければならない場面がある。たとえば、サーバはクライアントのIPアドレスに基づいて許可が下りる手順を実行しなればならず、あるいはサーバにあるアプリケーションがマーケッティング努力の有効性を評価するため唯一のヴィジタ識別名のようなクライアントIPアドレスを使用しなければならないことがある。別の例では、サーバはクライアントが実際にある場所に応じてクライアント向けコンテンツの送信を変更しなければならないことがある。このような場合、サーバは適切なコンテンツをクライアントに向けて送信するためクライアントのIPアドレスを確認する必要がある。
サーバはまたセキュリティを目的としてクライアントIPアドレスを使用する。たとえば、サーバは所定の信用が確保されたクライアントにだけデータを送信するように構成され、あるいはサーバは一定の地域または国に属するクライアントからの要求には応じないようにプログラムされる。しかしながら、これらの有効であるセキュリティ手段の場合、サーバは最初の要求者である、そのクライアントのIPアドレスを確認しなければならない。
クライアントのIPアドレスについてサーバに知らせる幾つかの中間装置で用いられる公知技術はHTTPプロトコルのX−フォワーデット−フォー・ヘッダ・ラインあるいは同様な目的を持つ別のヘッダを使用することである。このヘッダ・ラインは最初のソースのIPアドレスを含み、また最初のソースと中間装置との間に存在する他の中間装置のアドレスを含む。この技術では、サーバ・ソフトウエアは多様な目的のためにこのIPアドレスのリストを使用するように作成される。この技術の欠点はHTTPのような少数のプロトコルだけが利用できる点にあり、FTPのような他のプロトコルと共に使用することができない。第2の欠点は暗号化セキュア・コネクション(たとえば、SSLを使用するコネクション)の場合、プロクシは暗号に書き換えられたHTTP−レベル・データを理解するだけで、ヘッダ・ラインを適切に修正することができない。第3の欠点はヘッダがそれまでに許可が下りないクライアントによって偽造されることである。第4の欠点は透明性の不足である。ここで、サーバ・ソフトウエアは翻訳し直し、新しいヘッダを使用するため再作成され、または再プログラムされる必要があり、このような新しいサーバへの変更は高価であるかまたは不可能である。
クライアントのIPアドレスをサーバに提供する、別の公知技術はクライアントの確認について中間装置に質問することである。この技術では、サーバ・ソフトウエアは中間装置へのコネクションを取るように作成され、クライアントのIPアドレスを要求する。この技術の欠点は要求−回答サイクルがある時間を必要とし、特にそのクライアントが求めるコンテンツを提供する前にサーバがクライアントのIPアドレスを確認する必要がある場合に遅れを伴うことである。この技術のさらなる欠点は透明性の不足である。ここで、サーバはこれらの質問を開始するようにプログラムされねばならず、回答が到着するまでの遅れに打ち勝てるように構成されねばならない。
クライアントIPアドレスをサーバに提供する、別の公知技術は中間装置からサーバへのアドレス情報についてオフラインで転送することである。この技術はクライアント−コネクションのログを保つため中間装置を必要とする。この技術はマーケット・リサーチの目的のためには有用であるが、許可を目的にサーバがクライアントIPアドレスを使用すること、さらにはサーバがクライアントの要求するコンテンツを修正することは許さない。この技術の欠点はサーバ・データ管理方法に関して透明性の不足があることである。
クライアント識別情報をサーバに提供するための装置はサーバ通信情報に含ませる少なくとも1つのタグ付きパケットを生成するインテリジェント中間装置にタグ付加器を備える。サーバは、好ましくは少なくとも1つのタグ付きパケットからクライアント識別情報を取得するインターセプタを備え、このクライアント識別情報をサーバにあるアプリケーションに提供する。一実施例では、インターセプタはこのアプリケーションから通信情報のソースの身元証明を要求しているオペレーティング・システムへのコールを傍受することによってクライアント識別情報をアプリケーションに提供するように構成される。
一実施例では、タグ付加器は通信情報データにクライアント識別情報を連結し、得られたデータをパケット化するように構成され、データ・フィールドにクライアント識別情報を含む、少なくとも1つのタグ付きパケットを生成する。別の実施例では、タグ付加器はクライアント識別情報を少なくとも1つのタグ付きパケットのプロトコル・ヘッダに含ませることによって少なくとも1つのタグ付きパケットを生成するように構成される。
クライアント識別情報をサーバに提供するための方法は通信情報に含ませるパケットとしてクライアント識別情報を含む少なくとも1つのタグ付きパケットを生成し、通信情報の一部としてタグ付きパケットをサーバに送信し、通信情報の少なくとも1つのタグ付きパケットを認識し、少なくとも1つのタグ付きパケットからクライアント識別情報を取得し、クライアント識別情報をアプリケーションに提供することを含む。クライアント識別情報をアプリケーションに提供するステップは、好ましくはアプリケーションから通信情報の身元証明を要求しているサーバのオペレーティング・システムへのコールを傍受し、この傍受したコールを通信情報のソースの身元証明に代わるクライアント識別情報を含む回答と共に応答することを含む。本発明の方法はさらに最初の通信情報データをサーバにあるアプリケーションに提供することを含む。
図1Aは本発明に従う電子ネットワーク100の一実施例のブロック図である。このネットワーク100は、これに限られないが、クライアント110と、ネットワーク112と、インテリジェント中間装置114と、ネットワーク116と、ソース識別サーバ118とを備える。クライアント110は、典型的にはコンテンツを入手する要求を含むクライアント通信情報をネットワーク112を通してインテリジェント中間装置114に送信する。インテリジェント中間装置114はクライアント110からの通信情報を受信し、終了させ、その後、典型的にはコンテンツを入手する要求を含むサーバ通信情報をネットワーク116を経由し、別のコネクションを使用してソース識別サーバ118に送信する。ソース識別サーバ118はその要求に従ってコンテンツを生成し、その後生成したコンテンツをインテリジェント中間装置114に送信する。コンテンツはこの後クライアント110に送信される。図1Aの実施例では、クライアント110とインテリジェント中間装置114とソース識別サーバ118とがトランスポート層およびネットワーク層においてTCP/IP(インターネット・プロトコルを使用するトランスミッション・コントロール・プロトコル)を有するプロトコル・スタックに従って通信する。インテリジェント中間装置114はクライアント−サーバ間に独立したコネクションを確立する、たとえばプロクシ、いずれかの形式の代用サーバ、サーバ・ロード・バランサおよびセキュア・ソケット・レイヤー(SSL)ゲートウェイのようないずれかの形式のネットワーキング装置である。インテリジェント中間装置114の他の例は“ウェブ・コンテンツの高性能配信方法”の名称で出願された米国特許出願番号第09/534,321号に記載されている。この明細書の開示は参照してここにその全体を取り入れる。
インテリジェント中間装置114はクライアント110の識別情報を含むようにソース識別サーバ118に送信されるサーバ通信情報を修正する。インテリジェント中間装置114はクライアント識別情報を含むように最初の通信情報データを修正し、またはクライアント識別情報を含むようにサーバ通信情報のプロトコル・ヘッダを修正し、あるいはこれの2つの組み合わせによる方法を修正する。好ましいインテリジェント中間装置114の具体的内容および機能は図2と共に以下に説明される。好ましいソース識別サーバ118はサーバ通信情報からクライアント識別情報を取得し、その情報を適切なアプリケーションに提供する。ソース識別サーバ118の具体的内容および機能は図4と共に以下に説明される。
図1Bは本発明に従う電子ネットワークの120の別の実施例のブロック図である。このネットワークは、これに限られないが、クライアント122と、クライアント124と、クライアント126と、ネットワーク128と、インテリジェント中間装置114と、ネットワーク130と、ソース識別サーバ118とを備える。図1Bの実施例では、インテリジェント中間装置114はクライアント122、124、126のいずれか1つからネットワーク128を通してクライアント通信情報を受信する。クライアント通信情報の1つ1つについてインテリジェント中間装置114はサーバ132、サーバ134あるいはソース識別サーバ118のうち、どのサーバがクライアントに代わってコンテンツを入手する要求のような情報を受信するかを決定し、次いでサーバ通信情報がクライアント識別情報を含むべきか、否かを決定する。ソース識別サーバ118に向けた情報の場合、インテリジェント中間装置114はクライアント識別情報を含むサーバ通信情報を作成する。サーバ132またはサーバ134に向けた情報の場合、インテリジェント中間装置114はサーバ132およびサーバ134がソース識別サーバではないので、クライアント識別情報を含まないサーバ通信情報を作成する。
図2は本発明に従う図1Aのインテリジェント中間装置114の一実施例のブロック図である。このインテリジェント中間装置114は、これに限られないが、プロクシ210と、タグ付加器212と、OSカーネル214とを備える。このプロクシ210はソース識別サーバ118用のプロクシとしての役割を果たし、ソース識別サーバ118に代わってコンテンツを入手する要求を受信し、応答する。インテリジェント中間装置114に記憶されないまたはソース識別サーバ118から呼び出されるべきコンテンツについてプロクシ210は望ましいコンテンツを要求するためソース識別サーバ118にコネクションを確立する。
クライアント110はインテリジェント中間装置114とのコネクションを確立し、コンテンツを入手する要求をインテリジェント中間装置114に送信する。このコネクションの確立では、クライアント110はIPアドレスを含む識別情報をインテリジェント中間装置114に連絡する。(クライアントのような)ある1つのポイントと(中間装置114のような)別のポイントとの間に直接のコネクションが存在するときはいつもポイントの1つ1つが別のIPアドレスを確認できるのがIPプロトコルの内蔵された特性である。しかしながら、それを使用することで生じる、特定の手段(IPヘッダ内の標準専用フィールド)もまたコネクション内の直接のエンドポイントとして含まれない、他のホスト機器の身元証明を記録するためには使用することができない。プロクシ210はクライアント110からのコネクションを終了し、ソース識別サーバ118に送信されるべきコンテンツを入手する要求を含むサーバ通信情報を作成する。タグ付加器212はクライアント110の識別情報を含むようにサーバ通信情報を修正し、タグ付きデータを生成する。この後、タグ付きデータ流を生成するためタグ付きデータはOSカーネル214によってパケット化される。クライアント識別情報を含むタグ付きデータ流を生成する技術は図3Aおよび図3Bと共に以下に説明される。タグ付加器212はハードウエア、ソフトウエア、ファームウエアあるいはこれらを組み合わせたものとして備えることができる。ソフトウエアを含むタグ付加器の実施内容では、ソフトウエアはOSカーネル214の内部装置のネットワーク・スタック・ソフトウエアの内部、ノン・カーネル・アプリケーションの内部またはこれらの組み合わせによるものに備えることができる。インテリジェント中間装置114の別の実施例では、タグ付加器212はプロクシ210と1つに統合される。
図3Aは本発明の好ましい実施例に従うタグ付きパケット310の構成図である。タグ付きパケット310はタグ付きデータ流に含まれる最初のデータ・ベアリング・パケットである。本実施例では、タグ付加器212はクライアント識別情報を最初のサーバ通信情報データの前部に連結し、この後得られたタグ付きデータについてタグ付きデータ流を形成するためタグ付きデータをパケット化するOSカーネル214に転送する。タグ付きパケット310は、これに限られないが、データ・リンク・ヘッダ312と、IPオプション・フィールド(図示せず)を含むIPヘッダ314と、TCPオプション・フィールド(図示せず)を含むTCPヘッダ316と、データ・フィールド318とを備える。クライアントIPアドレス320、認識パターン322およびチェック・サム324を含むクライアント識別情報はタグ付きパケット310のデータ・フィールド318に存在する。クライアントIPアドレス320はある方法、すなわちソース識別サーバ118が、たとえば数字または名称を認識するように構成する方法でフォーマットされたクライアント110のIPアドレスである。フォーマッティング設計は認識パターン322とチェック・サム324とを備えており、他のフィールド(図示せず)を備えてもよい。認識パターン322はタグ付きパケット310をタグ付きデータ流の本質的部分であるパケットとして認識する際にソース識別サーバ118を支援する。チェック・サム324はクライアント識別情報が改ざんされてないことを確かめる際にソース識別サーバ118を支援する。
別の実施例では、認識パターン322とチェック・サム324とは改ざんに備えるため、さらには許可が得られまたは信用がある実体物が挿入されているとき、クライアント識別情報を認証するため暗号化した署名によって置き換え、または補足するようにしてもよい。これはソース識別サーバ118がタグ付きパケット310の属するデータがタグを付されたものであることを認識できるように暗号化する。本実施例では、公開鍵暗号法とディジタル署名技術とが使用される。
別の実施例では、認識パターン322およびチェック・サム324の一方または双方が省略される。たとえば、チェック・サム324は改ざんの機会が極めて小さいと見られるとき、省略してもよい。認識パターン322はソース識別サーバ118がクライアント識別情報を含むようにデータ流がタグを付けるものと決定しているとき、省略してもよい。仮に、認識パターン322およびチェック・サム324の双方を省略した場合、ソース識別サーバ118はインテリジェント中間装置114のIPアドレスに基づいてインテリジェント中間装置114を認識し、かつインテリジェント中間装置114からのデータ流が常にクライアント識別情報を含むことを保証するように構成される。これに代えて、ソース識別サーバ118は他の装置からのタグを付けないデータ流を受信する外、インテリジェント中間装置114からのタグ付きデータ流を異なるTCP/IPポートによって受信するように構成してもよい。
再び図3Aに戻って、クライアントIPアドレス320ならびに認識パターン322およびチェック・サム324用の関係するデータ・フィールドがタグ付きデータ流の初めのデータ・ベアリング・タグ付きパケット310内の最初のデータとして示される。TCP/IPの分割およびパケット化の標準方法によれば、単一パケットに適合する数と比べて明らかに多くのクライアント識別情報があるときにはむしろタグ付きデータ流の最初の数個のデータ・ベアリング・パケットを超える分割されるべきクライアント識別情報が生じると理解される。たとえば、タグ付きパケット310はこれを分割するネットワーク116内のIPルータを通過してより小さい2つのパケットになり、このパケットの1つ1つはタグ付きパケット310内にクライアント識別情報の一部を含む。これに代えて、データ・フィールド318はタグ付きパケット310の大きさによってはクライアント識別情報と一部の最初の通信情報データとを含むようにしてもよい。
タグ付きデータ流を生成するためクライアント識別情報を含むサーバ通信情報を図3Aの実施例に従ってパケット化するとき、ソース識別サーバ118はクライアント識別情報を首尾よく取得する、カーネルのオペレーティング・システムに合わせた修正を必ずしも必要としない。タグ付加器212は最初の通信情報データの前に追加通信情報データとしてクライアント識別情報をデータ流に単純に書き込む。最初の通信情報データの内容およびフォーマットは重要でなく、たとえばデータは暗号に変えられる。
図3Bは本発明に従うタグ付きパケット1310の別の実施例の構成図である。本実施例では、タグ付加器212はタグ付きデータ流を生成するためパケット化されたサーバ通信情報のプロトコル・ヘッダを修正する。タグ付きパケット1310は、これに限られないが、データ・リンク・ヘッダ1312と、IPオプション・フィールド1330を含むIPヘッダ1313と、TCPオプション・フィールド1332を含むTCPヘッダ1316と、データ・フィールド1318とを備える。本実施例では、クライアント110の識別情報はIPオプション・フィールド1330またはTCPオプション・フィールド1332に挿入される。本実施例では、ソース識別サーバ118のOSカーネルは適切なヘッダのオプション・フィールドにあるクライアント識別情報を識別し、それを取り出すように構成されねばならない。本実施例では、IPオプション・フィールド1330またはTCPオプション・フィールド1332に挿入されるクライアント識別情報は認識パターンおよびチェック・サムと共にクライアントIPアドレスとして図3Aに示されるものに類似した方法でフォーマットされる。別の実施例では、この認識パターンおよびチェック・サムのどちらか一方または双方は省略してもよく、暗号化した署名または他の補助データが提供されるクライアント識別情報を信頼できる方法で確実に取得する際にソース識別サーバ118を支援するために使用される。
タグ付きパケット1310の別の実施例では、クライアント識別情報および関係する補助データのうち、幾つかまたはその全てがIPオプション・フィールド1330以外のIPヘッダ1313内の固定フィールド、またはTCPオプション・フィールド1332以外のTCPヘッダ1316内の固定フィールドに書き換えられる。たとえば、TCP“至急の”フラッグ(TCPヘッダ1316の追加の16ビット)と“至急の”ポインタ(TCPヘッダ1316の1ビット)とは本パケットがクライアント識別情報を含むタグ付きデータ流に属することを表わし、クライアント識別情報または補助データの幾つかの部分を書き換えるように使用される。パケット・ヘッダ内の固定フィールドはソース識別サーバ118がタグ付きデータ流を誤って解釈し、不正確に扱う機会がないと見極めたとき、上記方法で使用される。たとえば、ウェブ・サーバは、多くの場合、TCP至急データを予期し、これを処理するようには設計されないが、クライアント識別情報を書き換えるような基準から外れた目的のためにそうした至急ビットおよび至急ポインタを使用することは多様なウェブの背景があるとしても、受け入れることができる。
図にはタグ付きパケット1310が1つだけ示されるが、クライアント識別情報はIPオプション・フィールド1330、TCPオプション・フィールド1332、インテリジェント中間装置114−ネットワーク116間のコネクションまたはノードの収容能力およびネットワーク116内のコネクションのサイズに応じてタグ付きパケットを数個以上に分割してもよい。
図4は本発明に従う図1Aのソース識別サーバ118の一実施例のブロック図である。ソース識別サーバ118は、これに限られないが、アプリケーション412と、インターセプタ414と、オペレーティング・システム(OS)カーネル416とを備える。図4では、アプリケーション412とインターセプタ414とがOSカーネル416から完全に独立するように示されるが、別の実施例では、アプリケーション412は、典型的にはカーネルの要素ではないが、システムが呼び出しおよび割り込みを行うような手法によってカーネルの担う仕事をする。アプリケーション412はインテリジェント中間装置114のような遠隔装置にコンテンツを提供するように構成される。アプリケーション412の代表的実施内容にはHTTPアプリケーションとSMTPアプリケーションとFTPアプリケーションとを含む。インターセプタ414はインテリジェント中間装置114から送信される通信情報を傍受し、クライアント識別情報を含むように構成される。本ソース識別サーバ118の実施例では、インターセプタ414は図3Aの実施例に従ってタグ付加器212で生成したタグ付きデータ流を認識したとき、インターセプタ414はそのタグ付きデータ流からクライアント識別情報を取得する。インターセプタ414はこの後クライアント識別情報をアプリケーション412に提供し、またはクライアント識別情報について質問するアプリケーション412の代用手段に提供する。インターセプタ414はまたデータ流がそれ以前タグ付加器212によって処理されたとき、データ流の最初の通信情報データを修復する。インターセプタ414はこの後修復された最初の通信情報データをアプリケーションに送信する。
一実施例では、インターセプタ414はコネクションを通して信頼できるソースから送られるタグ付きデータ流をひたすら探す。たとえば、インテリジェント中間装置114はソース識別サーバ118用の公知のプロクシであり、信頼できるソースである。別の複数のネットワーク装置(図示せず)がソース識別サーバ118との間でコネクションを開いても、これらの装置が信頼できないソースであるならば、インターセプタ414はこれらのコネクションを通して入ってくるパケットには目を止めない。
典型的サーバでは、アプリケーションがOSカーネルの新しいコネクション列から次に利用できるコネクションを呼ぶためOSカーネルを呼び出す。たとえば、アプリケーションは新しいコネクションをアプリケーションに送信する、大部分で共通のインターフェースである“アクセプト”システム・コールを呼び出す。このOSカーネルは処理用コネクションからのデータを検索するためアプリケーションがコネクションの身元証明(たとえば、ソケット番号)を示してアクセプト・コールに応答する。このアプリケーションはまたコネクションを通してデータを遠隔装置、たとえばインテリジェント中間装置114に送信する。
通常、OSカーネルが新しいコネクションを使ってアクセプト・コールに応答するとき、OSカーネルはまた接続中の遠隔装置の身元証明(たとえば、IPアドレス)を提供する。これに代えて、アプリケーションは接続中の遠隔装置の身元証明のようなコネクションの属性を求めてOSカーネルに問い合わせるため明示の質問システム・コールを使用してもよい。アクセプトのようなシステム・コールまたはコネクション属性を質問するシステム・コールは、典型的にはOSカーネルが接続中の遠隔装置の識別情報を書き込むべきバッファのアドレスを含む。通常、OSカーネルはそのシステム・コールに応答し、接続中の遠隔装置の識別情報をバッファに書き込む。OSカーネルに適合するシステム・コールの特定のフォーマットはOSカーネルの特定の実施内容に左右される。このアクセプト・コールは、通例では使用されるが、ネットワークにアクセスし、利用するためにアプリケーションで使用されるインタフェースの単なる具体例である。
ソース識別サーバ118において、アプリケーション412はOSカーネル416の新しいコネクション列から次に利用できるコネクションを呼ぶためOSカーネル416を呼び出す。インターセプタ414はこのコールを傍受し、次に利用できるコネクションを得るためOSカーネルに自身のコールを送信する。いずれかの利用できるコネクションがある場合、OSカーネル416はそのうちの1つのコネクションの身元証明と接続中の遠隔装置のIPアドレスとを示して応答する。インターセプタ414はまた“ペンディング”コネクションの内部に保存された列を有する。ここで、この列は接続中の遠隔装置のコネクションの身元証明とIPアドレスとを記録している。ペンディング・コネクションとは未だアプリケーション412に報告されないOSカーネル416でインターセプタ414に前もって送信されたコネクションのことである。新たに報告された新しいコネクションまたはペンディング・コネクションのどちらの場合も、インターセプタ414は新しいコネクションから入ってくるデータを読むためOSカーネル416への別のシステム・コールを作成する。インターセプタ414はデータ流がクライアント識別情報と共にタグを付されているか、否かを決定するためコネクッションを通して入ってくるデータに注視する。本実施例では、インターセプタ414はコネクションによってカーネルのバッファ内部のペンディング・データを精査するが、カーネルのバッファからそのペンディング・データを除かないリード・システム・コールの“ピーク”・ヴァージョンを使用する。
仮に、データ流がクライアント識別情報を示さず、タグも付けられず、たとえばインターセプタ414がデータ中の正確な位置に正しい認識パターンを見出せないと決定すれば、インターセプタ414はOSカーネル416から接続中の遠隔装置の新しいコネクションの身元証明とIPアドレスとを受信したとき、その情報を正確にアプリケーション412に転送する。インターセプタ414が入ってくるデータに適切な認識パターンまたは他の識別マーカを認識し、書き込まれたクライアント識別情報が入ってくるデータに完全な形で存在するならば、インターセプタ414はOSカーネル416のペンディング・データ列からクライアント識別情報が除かれるようにリード・システム・コールのノン−ピーク・ヴァージョンを用いて入ってくるデータからクライアント識別情報を再び読み取る。インターセプタ414はこの後新しいコネクションの身元証明をアプリケーション412に転送し、OSカーネル416から報告された接続中の遠隔装置のアドレスでなく、アプリケーション412が提供する取得したクライアント識別情報でバッファを満たす。インターセプタ414はまた内部ストレージに保存したコネクションの身元証明と取得したクライアント識別情報との間の対応関係を格納し、ノン−ペンディングとしてそのレコードに符号を付ける。
このコネクションのためにOSカーネル416のバッファに十分なペンディング・データがあり、インターセプタ414が一度にOSカーネル416から新しいコネクションを受信した場合、インターセプタ414はこのデータ流がタグを付されているか、否か、またはデータ流にタグが付されていてもクライアント識別情報が完全か、否かを決定するため新たなコネクションの身元証明をアプリケーション412には送信しないが、内部ストレージに保存された接続中の遠隔装置のコネクションの身元証明とアドレスとを記録し、ペンディングとしてそのレコードに符号を付ける。
アプリケーション412はまたコネクションの別の接続端によって遠隔装置の身元証明を要求するためOSカーネル416を呼び出す。これは“アクセプト”として次に利用できるコネクションを求める最初のコールの一部か、または独立したコールであり、OSカーネル416の実施内容に左右される。インターセプタ414は遠隔装置の身元証明を求めてバッファのアドレスを含むコールを傍受する。インターセプタ414は提供されたコネクションの身元証明と関係のあるクライアント識別情報とによる正しい組み合わせのレコードを得るため内部記録に問い合わせる。そうしたレコードが見出された場合、インターセプタ414は記憶され、取得したクライアント識別情報でバッファを満たし、この情報をアプリケーション412に転送する。そうしたレコードが見出せない場合、インターセプタ414は遠隔装置の身元証明を求めてそのコールをOSカーネル416に転送し、OSカーネル416がインテリジェント中間装置114の身元証明をバッファに書き込んで応答する。本実施例では、アプリケーション412側がそのときのコールに応じて受信する回答がインターセプタ414によって修正されたことを知らないので、インターセプタ414はクライアント識別情報をアプリケーション412に対して包み隠さず提供する。
インターセプタ414の別の実施例は代替的実施内容の細部を備える。OSシステム・コールAPIの細部基準および完全な支持が要求される程度によりインターセプタ414を使って傍受しなければならい多数のシステム・コールが存在する。たとえば、インターセプタ414がアプリケーション412による検索結果について受信し、タグの付かないデータをバッファに保存するように構成される場合、インターセプタ414はペンディング・データを読み込むためノン−ピーク・システム・コールを使用する。インターセプタ414の別の実施例によれば、インターセプタ414は読み込んでいるデータと関わりのあるシステム・コールを傍受することを必要とする場合があり、その上、インターセプタ414が内部ストレージから必要とするところにデータを送信する場合がある。
アプリケーション412はこの後いずれかの目的のためにバッファにあるクライアント110の識別情報を使用する。たとえば、アプリケーション412は要求に応じて適切なコンテンツを決定し、あるいは要求したコンテンツの受信に向けてクライアント110が許可できるか、否かを決定するためクライアント110の身元証明を使用する。アプリケーション412はまたクライアント110の身元証明を唯一のヴィジタのログに加えるようにしてもよい。
一実施例では、インターセプタ414は選択されたシステム・コールがライブラリ・コードで傍受されるようにアプリケーション412の始動シーケンスの中でプリロードされる共用ライブラリである。インターセプタ414の特定の実施内容はアプリケーション412で使用された特定の実施内容(たとえば、HTTPウェブ・サーバまたはSMTPメール・サーバ)、さらにはOSカーネル416で使用された特定の実施内容(たとえば、ウィンドーズまたはリナックス)に従って各々インタフェースするように構成しなければならない。たとえば、OSカーネル416の特定の実施内容は各々独自にフォーマットされたコールに応じて回答する。インターセプタ414を構成するにあたり、アプリケーション412およびOSカーネル416の特定の実施内容に従ってインタフェースする技術はこの技術分野では公知である。
本実施例に係るソース識別サーバ118では、クライアント110の身元証明をアプリケーション412に提供するのにアプリケーション412またはOSカーネル416に合わせた変更は必要としない。これはソース識別サーバ118にインターセプタ414を備えるように構成することを容易に可能にする。また、ソース識別サーバ118で受信した暗号化セキュア・データはインターセプタ414の機能によっては影響を受けない。別の実施例では、インターセプタ414の機能性がアプリケーション412のコードに合わせて修正して実施される。
クライアント識別情報が低レベル・パケット・ヘッダに埋め込まれている、図3Bのタグ付きパケット1310のようなタグ付きパケットを処理するためソース識別サーバ118は、典型的にはあるカーネル・レベルのアクセスを必要とする。代替的実施例のインターセプタ414はアプリケーション412から直接システム・コールを受信するように構成される、ローダブル・カーネル・モジュールであり、この後最初のシステム・コールをOSカーネル416に転送するか、あるいは上記のようにシステム・コールを修正するか、どちらかの方法を使用する。別の実施例では、OSカーネル416は最初のシステム・コールの実施内容がインターセプタ414の機能性を備えて改良されるように修正される。
図5は本発明の一実施例に従うクライアント識別情報を取得するための方法を示すフローチャートである。ステップ512において、ソース識別サーバ118はコネクションをインテリジェント中間装置114に対して確立する。ステップ514において、ソース識別サーバ118はコネクションを通してデータ流のパケットを受信することを開始する。ステップ516において、インターセプタ414はパケットがタグを付されたパケットであるか、否かを決定するため最初のパケットにあるデータを注視する。インターセプタ414がタグ付きパケットを認識しない場合、本発明方法はステップ518へと続き、インターセプタ414が全てのデータを修正することなく、コネクションを通してパケットからアプリケーション412に転送する。
インターセプタ414が少なくとも1つのタグ付きパケットを認識した場合、ステップ520において、インターセプタ414は全てのクライアント識別情報が読み取られるまで、タグ付きパケットからクライアント識別情報を取り出す。ステップ522において、インターセプタ414は残りのデータをコネクションを通してパケットからアプリケーション412に転送する。
本発明が特定の実施例に対する参照と共に上記の通り説明された。しかしながら、添付の請求の範囲に記載のような本発明の本質と範囲とから離れることなく、多様な変更および変形がなし得ることは明らかである。したがって、上述の説明と図面とは限定の意味ではなく、具体例として考慮すべきである。
図1Aは本発明に従う電子ネットワークの一実施例のブロック図である。 図1Bは本発明に従う電子ネットワークの他の実施例のブロック図である。 図2は本発明に従う図1Aに示されるインテリジェント中間装置の一実施例のブロック図である。 図3Aは本発明の好ましい実施例に従うタグ付きパケットの構成図である。 図3Bは本発明に従うタグ付きパケットの他の実施例の構成図である。 図4は本発明に従う図1Aに示されるソース識別サーバの実施例のブロック図である。 図5は本発明の一実施例に従うクライアント識別情報を取得する方法に係るフローチャートである。

Claims (35)

  1. 入力と出力とを有するインテリジェント中間装置と、
    前記インテリジェント中間装置の前記入力はクライアント識別情報を含むクライアント通信情報を受信することが可能であり、
    前記インテリジェント中間装置の前記出力はサーバ通信情報を送信することが可能であり、
    前記インテリジェント中間装置はクライアント識別情報を受信し、サーバ通信情報に含ませることができる、タグ付きデータ流を発生するタグ付加器を備えており、ここで、前記タグ付きデータ流は取り出せるクライアント識別情報を含んでおり、
    前記サーバ通信情報の前記タグ付きデータ流から前記クライアント識別情報を取得し、前記クライアント識別情報を前記サーバにあるアプリケーションに提供するように構成されるインターセプタと、
    を備える装置。
  2. 前記タグ付加器がクライアント識別情報を少なくとも1つのタグ付きパケットのデータ・フィールドに挿入するように構成される請求項1記載の装置。
  3. 前記タグ付加器がタグ付きデータ流を生成するためクライアント識別情報を通信情報データに連結するように構成される請求項1記載の装置。
  4. 前記タグ付加器がクライアント識別情報を少なくとも1つのタグ付きパケットのプロトコル・ヘッダに挿入するように構成される請求項1記載の装置。
  5. 前記タグ付加器がさらにクライアント識別情報を少なくとも1つのタグ付きパケットのTCPヘッダに挿入するように構成される請求項4記載の装置。
  6. 前記タグ付加器がさらにクライアント識別情報を少なくとも1つのタグ付きパケットのIPヘッダに挿入するように構成される請求項4記載の装置。
  7. 前記クライアント識別情報がクライアントIPアドレスを含む請求項1記載の装置。
  8. 前記インターセプタが前記アプリケーションから前記サーバのオペレーティング・システムへのサーバ通信情報のソースの身元証明を求める要求を含むコールを傍受し、この傍受したコールをサーバ通信情報のソースの身元証明に代わるクライアント識別情報を含む回答と共に応答することによってクライアント識別情報を前記アプリケーションに提供する請求項1記載の装置。
  9. 前記インターセプタがさらにサーバ通信情報に含まれる通信データを前記アプリケーションに提供するように構成される請求項1記載の装置。
  10. 入力としてクライアント通信情報を有し、クライアントに代わって送る出力としてサーバ通信情報を有するプロクシと、
    前記サーバ通信情報に含ませることができる、取り出せるクライアント識別情報を含む、少なくとも1つのタグ付きパケットを生成するタグ付加器と、
    を備えるインテリジェント中間装置。
  11. 前記タグ付加器がクライアント識別情報を少なくとも1つのタグ付きパケットのデータ・フィールドに挿入するように構成される請求項10記載のインテリジェント中間装置。
  12. 前記タグ付加器がクライアント識別情報をサーバ通信データに連結し、クライアント識別情報が少なくとも1つのタグ付きパケットのデータ・フィールドに挿入されるように、得られたデータをパケット化するように構成される請求項10記載のインテリジェント中間装置。
  13. 前記タグ付加器がクライアント識別情報を少なくとも1つのタグ付きパケットのプロトコル・ヘッダに挿入するように構成される請求項10記載のインテリジェント中間装置。
  14. 前記タグ付加器がクライアント識別情報を少なくとも1つのタグ付きパケットのTCPヘッダに挿入するように構成される請求項13記載のインテリジェント中間装置。
  15. 前記タグ付加器がクライアント識別情報を少なくとも1つのタグ付きパケットのIPヘッダに挿入するように構成される請求項13記載のインテリジェント中間装置。
  16. 前記クライアント識別情報がクライアントIPアドレスを含む請求項10記載のインテリジェント中間装置。
  17. インテリジェント中間装置からクライアント識別情報を含む、少なくとも1つのタグ付きパケットを有するサーバ通信情報を送信するように構成されるオペレーティング・システムと、
    サーバ通信情報からデータを受信するように構成されるアプリケーションと、
    タグ付きパケットからクライアント識別情報を取得するように構成されるインターセプタと、
    を備え、前記インターセプタがさらに前記アプリケーションから前記オペレーティング・システムへのサーバ通信情報のソースのクライアント識別情報を要求しているコールを傍受し、この傍受したコールをサーバ通信情報のソースに関するクライアント識別情報に代えてクライアント識別情報を含む回答と共に応答するように構成されるソース識別サーバ。
  18. 前記アプリケーションがウェブ・サーバである請求項17記載のソース識別サーバ。
  19. 前記アプリケーションがe−メール・サーバである請求項17記載のソース識別サーバ。
  20. 前記クライアント識別情報がクライアントIPアドレスを含む請求項17記載のソース識別サーバ。
  21. 前記インテリジェント中間装置からのサーバ通信情報が暗号化セキュア・データを含む請求項17記載のソース識別サーバ。
  22. 前記少なくとも1つのタグ付きパケットがデータ・フィールドにクライアント識別情報を含む請求項17記載のソース識別サーバ。
  23. 前記少なくとも1つのタグ付きパケットがプロトコル・ヘッダにクライアント識別情報を含む請求項17記載のソース識別サーバ。
  24. 前記少なくとも1つのタグ付きパケットがTCPヘッダにクライアント識別情報を含む請求項23記載のソース識別サーバ。
  25. 前記少なくとも1つのタグ付きパケットがIPヘッダにクライアント識別情報を含む請求項23記載のソース識別サーバ。
  26. 前記インターセプタが少なくとも1つの標準ライブラリ機能を優先するように環境を処理しているアプリケーションにインストールされる請求項17記載のソース識別サーバ。
  27. 前記インターセプタがオペレーティング・システムにローダブル・モジュールとしてインストールされる請求項17記載のソース識別サーバ。
  28. サーバに送信される通信情報に関するパケットとしてクライアント識別情報を含む、少なくとも1つのタグ付きパケットを生成し、
    前記通信情報を前記サーバに送信し、
    前記通信情報内の少なくとも1つのタグ付きパケットを認識し、
    前記少なくとも1つのタグ付きパケットからクライアント識別情報を取得し、
    前記クライアント識別情報を前記サーバにあるアプリケーションに提供する、
    ことを含む方法。
  29. 前記少なくとも1つのタグ付きパケットを生成するステップが前記クライアント識別情報を前記少なくとも1つのタグ付きパケットのデータ・フィールドに挿入することを含む請求項28記載の方法。
  30. 前記少なくとも1つのタグ付きパケットを生成するステップが前記クライアント識別情報を通信情報データに連結し、前記クライアント識別情報が前記少なくとも1つのタグ付きパケットのデータ・フィールドに挿入されるように、得られたデータをパケット化することを含む請求項28記載の方法。
  31. 前記少なくとも1つのタグ付きパケットを生成するステップが前記クライアント識別情報を前記少なくとも1つのタグ付きパケットのプロトコル・ヘッダに挿入することを含む請求項28記載の方法。
  32. 前記少なくとも1つのタグ付きパケットを生成するステップが前記クライアント識別情報を前記少なくとも1つのタグ付きパケットのTCPヘッダに挿入することを含む請求項31記載の方法。
  33. 前記少なくとも1つのタグ付きパケットを生成するステップが前記クライアント識別情報を前記少なくとも1つのタグ付きパケットのIPヘッダに挿入することを含む請求項31記載の方法。
  34. 前記クライアント識別情報を前記アプリケーションに提供するステップが
    前記アプリケーションから前記サーバのオペレーティング・システムへの前記通信情報のソースの身元証明を求める要求を含むコールを傍受し、
    この傍受したコールを前記通信情報のソースの身元証明に代わるクライアント識別情報を含む回答と共に応答する、
    ことを含む請求項28記載の方法。
  35. さらに、最初の通信情報データを前記アプリケーションに提供することを含む請求項28記載の方法。
JP2007540207A 2004-11-09 2005-11-09 クライアント識別情報をサーバのアプリケーションに提供するシステム及び方法 Expired - Fee Related JP5031574B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/984,348 US20060098645A1 (en) 2004-11-09 2004-11-09 System and method for providing client identifying information to a server
US10/984,348 2004-11-09
PCT/US2005/040719 WO2006053117A2 (en) 2004-11-09 2005-11-09 System and method for providing client identifying information to a server

Publications (3)

Publication Number Publication Date
JP2008521076A true JP2008521076A (ja) 2008-06-19
JP2008521076A5 JP2008521076A5 (ja) 2008-12-25
JP5031574B2 JP5031574B2 (ja) 2012-09-19

Family

ID=36316241

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007540207A Expired - Fee Related JP5031574B2 (ja) 2004-11-09 2005-11-09 クライアント識別情報をサーバのアプリケーションに提供するシステム及び方法

Country Status (11)

Country Link
US (1) US20060098645A1 (ja)
EP (1) EP1875360A4 (ja)
JP (1) JP5031574B2 (ja)
KR (1) KR20080002741A (ja)
CN (1) CN101111832B (ja)
AU (2) AU2005304469A1 (ja)
BR (1) BRPI0517638A (ja)
CA (1) CA2587500A1 (ja)
SG (1) SG159534A1 (ja)
WO (1) WO2006053117A2 (ja)
ZA (1) ZA200704419B (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013533535A (ja) * 2010-05-28 2013-08-22 アルカテル−ルーセント パケットネットワークにおけるアプリケーションレイヤ認証
JP2014530441A (ja) * 2011-10-14 2014-11-17 マイクロソフト コーポレーション 多数のサーバーからクライアントへの単一エンド・ユーザー体験の配信

Families Citing this family (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8145908B1 (en) * 2004-10-29 2012-03-27 Akamai Technologies, Inc. Web content defacement protection system
US8135741B2 (en) * 2005-09-20 2012-03-13 Microsoft Corporation Modifying service provider context information to facilitate locating interceptor context information
US9189640B2 (en) * 2005-10-31 2015-11-17 Hewlett-Packard Development Company, L.P. Methods and apparatus for re-provisioning a server of a data center
US7675854B2 (en) 2006-02-21 2010-03-09 A10 Networks, Inc. System and method for an adaptive TCP SYN cookie with time validation
US8447802B2 (en) * 2006-03-08 2013-05-21 Riverbed Technology, Inc. Address manipulation to provide for the use of network tools even when transaction acceleration is in use over a network
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
US8584199B1 (en) 2006-10-17 2013-11-12 A10 Networks, Inc. System and method to apply a packet routing policy to an application session
US8553554B2 (en) * 2008-05-16 2013-10-08 Alcatel Lucent Method and apparatus for providing congestion control in radio access networks
US20090296613A1 (en) * 2008-06-03 2009-12-03 Colin Kahn Method and apparatus for providing quality-of-service in radio access networks
US8503432B2 (en) * 2008-09-30 2013-08-06 Alcatel Lucent Method and apparatus for signaling proprietary information between network elements of a core network in a wireless communication network
US8027255B2 (en) * 2008-09-30 2011-09-27 Alcatel Lucent Method and apparatus for prioritizing packets for use in managing packets in radio access networks
US8615655B2 (en) * 2009-01-22 2013-12-24 Check Point Software Technologies, Ltd. Methods and devices for packet tagging using IP indexing via dynamic-length prefix code
US9553907B2 (en) * 2009-07-14 2017-01-24 Saguna Networks Ltd. Methods circuits devices systems and associated computer executable code for conveying information between network elements over an open dataflow
US9960967B2 (en) 2009-10-21 2018-05-01 A10 Networks, Inc. Determining an application delivery server based on geo-location information
US9215275B2 (en) 2010-09-30 2015-12-15 A10 Networks, Inc. System and method to balance servers based on server load status
US9609052B2 (en) 2010-12-02 2017-03-28 A10 Networks, Inc. Distributing application traffic to servers based on dynamic service response time
US20120207041A1 (en) * 2011-02-13 2012-08-16 Openwave Systems Inc. System and method for tagging client/network information in headers of data packets
US8897154B2 (en) 2011-10-24 2014-11-25 A10 Networks, Inc. Combining stateless and stateful server load balancing
US9386088B2 (en) 2011-11-29 2016-07-05 A10 Networks, Inc. Accelerating service processing using fast path TCP
US9094364B2 (en) 2011-12-23 2015-07-28 A10 Networks, Inc. Methods to manage services over a service gateway
US10044582B2 (en) 2012-01-28 2018-08-07 A10 Networks, Inc. Generating secure name records
US9118618B2 (en) 2012-03-29 2015-08-25 A10 Networks, Inc. Hardware-based packet editor
US8782221B2 (en) 2012-07-05 2014-07-15 A10 Networks, Inc. Method to allocate buffer for TCP proxy session based on dynamic network conditions
US9106561B2 (en) 2012-12-06 2015-08-11 A10 Networks, Inc. Configuration of a virtual service network
US10021174B2 (en) 2012-09-25 2018-07-10 A10 Networks, Inc. Distributing service sessions
US10002141B2 (en) 2012-09-25 2018-06-19 A10 Networks, Inc. Distributed database in software driven networks
US9843484B2 (en) 2012-09-25 2017-12-12 A10 Networks, Inc. Graceful scaling in software driven networks
JP2015534769A (ja) 2012-09-25 2015-12-03 エイ10 ネットワークス インコーポレイテッドA10 Networks, Inc. データネットワークにおける負荷分散
US9338225B2 (en) 2012-12-06 2016-05-10 A10 Networks, Inc. Forwarding policies on a virtual service network
US9531846B2 (en) 2013-01-23 2016-12-27 A10 Networks, Inc. Reducing buffer usage for TCP proxy session based on delayed acknowledgement
US9900252B2 (en) 2013-03-08 2018-02-20 A10 Networks, Inc. Application delivery controller and global server load balancer
US10164989B2 (en) 2013-03-15 2018-12-25 Nominum, Inc. Distinguishing human-driven DNS queries from machine-to-machine DNS queries
WO2014144837A1 (en) 2013-03-15 2014-09-18 A10 Networks, Inc. Processing data packets using a policy based network path
US10027761B2 (en) 2013-05-03 2018-07-17 A10 Networks, Inc. Facilitating a secure 3 party network session by a network device
WO2014179753A2 (en) * 2013-05-03 2014-11-06 A10 Networks, Inc. Facilitating secure network traffic by an application delivery controller
US10230770B2 (en) 2013-12-02 2019-03-12 A10 Networks, Inc. Network proxy layer for policy-based application proxies
US9467461B2 (en) 2013-12-21 2016-10-11 Akamai Technologies Inc. Countering security threats with the domain name system
US9942152B2 (en) 2014-03-25 2018-04-10 A10 Networks, Inc. Forwarding data packets using a service-based forwarding policy
US9942162B2 (en) 2014-03-31 2018-04-10 A10 Networks, Inc. Active application response delay time
US9906422B2 (en) 2014-05-16 2018-02-27 A10 Networks, Inc. Distributed system to determine a server's health
US9992229B2 (en) 2014-06-03 2018-06-05 A10 Networks, Inc. Programming a data network device using user defined scripts with licenses
US10129122B2 (en) 2014-06-03 2018-11-13 A10 Networks, Inc. User defined objects for network devices
US9986061B2 (en) 2014-06-03 2018-05-29 A10 Networks, Inc. Programming a data network device using user defined scripts
US10268467B2 (en) 2014-11-11 2019-04-23 A10 Networks, Inc. Policy-driven management of application traffic for providing services to cloud-based applications
US10693724B1 (en) * 2015-02-25 2020-06-23 Amazon Technologies, Inc. Context-sensitive techniques for optimizing network connectivity
US20170032004A1 (en) * 2015-07-29 2017-02-02 Sap Se Core data services based cross-system analytics
US10581976B2 (en) 2015-08-12 2020-03-03 A10 Networks, Inc. Transmission control of protocol state exchange for dynamic stateful service insertion
US10243791B2 (en) 2015-08-13 2019-03-26 A10 Networks, Inc. Automated adjustment of subscriber policies
US10681001B2 (en) 2018-03-29 2020-06-09 Akamai Technologies, Inc. High precision mapping with intermediary DNS filtering
US10834138B2 (en) 2018-08-13 2020-11-10 Akamai Technologies, Inc. Device discovery for cloud-based network security gateways
US10958624B2 (en) 2018-12-06 2021-03-23 Akamai Technologies, Inc. Proxy auto-configuration for directing client traffic to a cloud proxy with cloud-based unique identifier assignment

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5566170A (en) * 1994-12-29 1996-10-15 Storage Technology Corporation Method and apparatus for accelerated packet forwarding
GB2342816B (en) * 1998-10-13 2003-04-23 Nokia Mobile Phones Ltd Accessing a server computer
US6748420B1 (en) * 1999-11-23 2004-06-08 Cisco Technology, Inc. Methods and apparatus for providing shared access to an application
US6510464B1 (en) * 1999-12-14 2003-01-21 Verizon Corporate Services Group Inc. Secure gateway having routing feature
US6820133B1 (en) * 2000-02-07 2004-11-16 Netli, Inc. System and method for high-performance delivery of web content using high-performance communications protocol between the first and second specialized intermediate nodes to optimize a measure of communications performance between the source and the destination
WO2002067545A2 (en) * 2001-02-17 2002-08-29 Inktomi Corporation Content based billing
US7266609B2 (en) * 2001-04-30 2007-09-04 Aol Llc Generating multiple data streams from a single data source

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013533535A (ja) * 2010-05-28 2013-08-22 アルカテル−ルーセント パケットネットワークにおけるアプリケーションレイヤ認証
US8973125B2 (en) 2010-05-28 2015-03-03 Alcatel Lucent Application layer authentication in packet networks
JP2014530441A (ja) * 2011-10-14 2014-11-17 マイクロソフト コーポレーション 多数のサーバーからクライアントへの単一エンド・ユーザー体験の配信

Also Published As

Publication number Publication date
JP5031574B2 (ja) 2012-09-19
US20060098645A1 (en) 2006-05-11
SG159534A1 (en) 2010-03-30
CA2587500A1 (en) 2006-05-18
WO2006053117A3 (en) 2007-08-02
BRPI0517638A (pt) 2008-10-14
AU2005304469A1 (en) 2006-05-18
WO2006053117A2 (en) 2006-05-18
ZA200704419B (en) 2010-03-31
EP1875360A4 (en) 2011-10-12
AU2011200604A1 (en) 2011-03-03
CN101111832B (zh) 2010-09-29
CN101111832A (zh) 2008-01-23
KR20080002741A (ko) 2008-01-04
EP1875360A2 (en) 2008-01-09

Similar Documents

Publication Publication Date Title
JP2008521076A (ja) クライアント識別情報をサーバに提供するための装置および方法
US6732105B1 (en) Secure authentication proxy architecture for a web-based wireless intranet application
US10419398B2 (en) Method and apparatus for resource locator identifier rewrite
US6826690B1 (en) Using device certificates for automated authentication of communicating devices
US7565533B2 (en) Systems and methods for providing object integrity and dynamic permission grants
US7925693B2 (en) NAT access control with IPSec
US20160255116A1 (en) Enforcing compliance with a policy on a client
EP0947925A2 (en) Apparatus and method for remotely executing commands using distributed computing environment remote procedure calls
US20050273849A1 (en) Network access using secure tunnel
US20030177236A1 (en) DDNS server, a DDNS client terminal and a DDNS system, and a web server terminal, its network system and an access control method
US20050232161A1 (en) Method and apparatus for reducing TCP frame transmit latency
US20220101293A1 (en) Systems and methods for managing a payment terminal via a web browser
EP3605948B1 (en) Distributing overlay network ingress information
EP1157344A1 (en) Proxy server augmenting a client request with user profile data
US20070283141A1 (en) Method and System for Establishing the Identity of an Originator of Computer Transactions
US8036638B2 (en) Mobile banking
US10341286B2 (en) Methods and systems for updating domain name service (DNS) resource records
EP1897325B1 (en) Secure data communications in web services
CN114125027A (zh) 一种通信建立方法、装置、电子设备及存储介质
JP3661776B2 (ja) クライアントのプロファイル情報をサーバに提供する方法とシステム
CN114006724B (zh) 一种加密dns解析器发现及认证的方法与系统
US20050004937A1 (en) Integrity mechanism for file transfer in communications networks
US20030135618A1 (en) Computer network for providing services and a method of providing services with a computer network
US20020099808A1 (en) Accessing services across network security mechanisms
CN111628972A (zh) 一种数据加解密装置、方法、系统及存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081105

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081105

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20100616

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100618

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111005

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20111228

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120111

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120202

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120209

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120302

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120309

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120330

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120510

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120601

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120627

R150 Certificate of patent or registration of utility model

Ref document number: 5031574

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150706

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees