JP2014090493A - 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル - Google Patents

保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル Download PDF

Info

Publication number
JP2014090493A
JP2014090493A JP2014000051A JP2014000051A JP2014090493A JP 2014090493 A JP2014090493 A JP 2014090493A JP 2014000051 A JP2014000051 A JP 2014000051A JP 2014000051 A JP2014000051 A JP 2014000051A JP 2014090493 A JP2014090493 A JP 2014090493A
Authority
JP
Japan
Prior art keywords
computer
packet
data
address
discriminator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014000051A
Other languages
English (en)
Other versions
JP5685326B2 (ja
Inventor
Edmund C Munger
エドモンド シー. マンガー
J Savio Vincent
ビンセント ジェイ. サビオ
Robert Dunham Short Iii
ロバート ダンハム ザ・サード ショート
Virgil D Grigore
バージル ディー. グリゴール
Douglas Charles Shamido
ダグラス チャールズ シャミド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BARNET X Inc
Original Assignee
BARNET X Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BARNET X Inc filed Critical BARNET X Inc
Publication of JP2014090493A publication Critical patent/JP2014090493A/ja
Application granted granted Critical
Publication of JP5685326B2 publication Critical patent/JP5685326B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2539Hiding addresses; Keeping addresses anonymous
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/20Hop count for routing purposes, e.g. TTL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5076Update or notification mechanisms, e.g. DynDNS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5092Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/14Multichannel or multilink protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/42008Systems for anonymous communication between parties, e.g. by use of disposal contact identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/604Address structures or formats
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Air Bags (AREA)
  • Communication Control (AREA)
  • Polymers With Sulfur, Phosphorus Or Metals In The Main Chain (AREA)
  • Treatments For Attaching Organic Compounds To Fibrous Goods (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】インターネットを介した通信のセキュリティおよび匿名性を実現するための方法およびシステムを提供する。
【解決手段】妥当なアドレスの移動ウインドウによって定義された基準に一致しないデータ・パケットは受け入れられてさらに処理され、それに対して、この基準を満たさないパケットは拒絶される。IPアドレスおよびディスクリミネータ・フィールドの「ホッピング」だけでなく、媒体アクセス制御アドレスなどのハードウェア・アドレスもホップすることができる。ホップされるアドレスは、事前に容易に決定できる非反復シーケンス長を有し、順次、高速に任意の数の無作為ステップだけ先にジャンプすることができ、乱数生成プログラムのパラメータを知らないかぎり未来の乱数を推測するのが困難な特性を有する乱数生成プログラムによって生成される。
【選択図】なし

Description

関連出願
本出願は、すでに出願されている2つの特許仮出願第60/106261号(1998年10月30日出願)および第60/137704号(1999年6月7日出願)の主題の優先権を主張するものであり、その主題は全体的に組み入れられる。
発明の背景
インタネットを介した通信のセキュリティおよび匿名性を実現するために、極めて様々な方法が提案され実施されている。このように種類が多いのは、1つには様々なインタネット・ユーザのニーズがそれぞれ異なるためである。これらの様々なセキュリティ技法を論じるうえで助けになる基本的なヒューリスティック構造を図1に示す。2つの端末、すなわち、発信元端末100と着信先端末110はインタネットを介して通信する。通信を安全なものし、すなわち、通信が盗聴されないものであることが望ましい。たとえば、端末100がインタネット107を介して端末110に秘密情報を送信することがある。また、端末100が端末110と通信していることを盗聴者が気付かないようにすることが望ましい場合もある。たとえば、端末100がユーザであり、端末110がウェブ・サイトを運営している場合、端末100のユーザは、どのウェブ・サイトに「アクセスしている」かを介在するネットワーク内の誰にも知られたくない場合がある。したがって、たとえば、自分たちの市場研究の対象を公開しないことを望み、したがってウェブ・サイトまたはその他のインタネット資源のうちのどれに「アクセスしている」かを部外者が知るのを防止することを望む会社には匿名性が重要である。セキュリティに関するこの2つの問題はそれぞれ、データ・セキュリティおよび匿名性と呼ぶことができる。
データ・セキュリティは通常、ある形式のデータ暗号化を使用して対処される。発信元端末100と110の両方で暗号化鍵48が知られている。この鍵は、発信元端末100および着信先端末110のそれぞれでの専用鍵および公開鍵でも、あるいは対称鍵(同じ鍵が、両当事者によって暗号化および復号のために使用される)でもよい。多くの暗号化方法が知られており、この場合に使用可能である。
トラフィックをローカル管理者またはISPから隠すために、ユーザは、このローカル管理者またはISPが暗号化されたトラフィックのみを見るように、暗号化されたチャネルを通して外部エポキシと通信する際にローカル・エポキシ・サーバを使用することができる。プロキシ・サーバは、着信先サーバが発信元クライアントのIDを判定するのを妨げる。このシステムはクライアントと着信先サーバとの間に介在する中間サーバを使用する。着信先サーバは、プロキシ・サーバのインタネット・プロトコル(IP)アドレスのみを見て、発信元クライアントは見ない。ターゲット・サーバは外部プロキシのアドレスのみを見る。この方式は、信用できる外部プロキシ・サーバに依存する。また、プロキシ方式は、送信側および受信側のIDを判定するトラフィック分析方法の影響を受けやすい。プロキシ・サーバの他の重要な制限は、サーバが呼出し側と被呼出し側の両方のIDを知ることである。多くの例では、端末Aなどの発信元端末は、インタネット・サービス・プロバイダ(ISP)によってプロキシ・サーバが設けられている場合、端末のIDをプロキシから隠しておくことを望む。
トラフィック分析を無効にするために、Chaumのミックスと呼ばれる方式では、ダミー・メッセージを含む固定長メッセージを送受信するプロキシ・サーバが使用される。複数の発信元端末がミックス(サーバ)を通して複数のターゲット・サーバに接続される。どの発信元端末が、接続されているターゲット・サーバのうちのどれと通信しているかを判定するのは困難であり、ダミー・メッセージによって、盗聴者がトラフィックを分析することによって通信ペアを検出することは困難になる。この方法の欠点は、ミックス・サーバが打破される恐れがあることである。この危険に対処する1つの方法は、複数のミックス間で責任を分散することである。すなわち、1つのミックスが打破された場合でも、発信元端末およびターゲット端末のIDを隠されたままにすることができる。この方式では、複数のミックスをコンプロマイズしないかぎり、発信元端末とターゲット端末との間に介在する中間サーバを判定できないように、いくつかの代替ミックスが必要である。この方式では、メッセージが複数の暗号化アドレスレイヤで覆われる。シーケンス中の第1のミックスはメッセージのアウタ・レイヤのみを復号して、シーケンス中の次の着信先ミックスを知ることができる。第2のミックスはこのメッセージを復号して次のミックスを知り、以下同様な手順が繰り返される。ターゲット・サーバは、メッセージを受信し、任意選択で、データを同様に送り返すためのリターン情報を含むマルチレイヤ暗号化ペイロードを受信する。このようなミックス方式を無効にするには、ミックスを共謀させるしかない。パケットがすべて固定長であり、パケットにダミー・パケットが混合されている場合、どんな種類のトラフィック分析も不可能である。
「クラウド」と呼ばれる他の匿名性技法は、発信元端末をクラウドと呼ばれるプロキシ・グループに属させることによって発信元端末のIDを中間プロキシから保護する技法である。クラウド・プロキシは、発信元端末とターゲット端末との間に介在する。メッセージが通過する各プロキシは、上流側プロキシによって無作為に選択される。各中間プロキシは、「クラウド」内の無作為に選択された他のプロキシまたは着信先にメッセージを送信することができる。したがって、クラウド・メンバーでも、メッセージの発信側が前のプロキシであるかどうかや、メッセージが他のプロキシから転送されたものに過ぎないのかどうかを判定することができない。
ZKS(ゼロ・ノリッジ・システム)匿名IPプロトコルは、ユーザが5つの異なる匿名のいずれかを選択できるようにし、同時に、デスクトップ・ソフトウェアが発信トラフィックを暗号化し、ユーザ・データグラム・プロトコル(UDP)パケット内に隠される。2+-ホップ・システム内の第1のサーバは、UDPパケットを得て、1つの暗号化レイヤを除去して別の暗号化レイヤを付加し、次いでこのトラフィックを次のサーバに送信する。このサーバはさらに別の暗号化レイヤを除去して新しい暗号化レイヤを付加する。ユーザはホップの数を制御することができる。最後のサーバで、トラフィックは、追跡不能なIPアドレスを用いて復号される。この技法はオニオン・ルーティングと呼ばれている。この方法は、トラフィック分析を使用して無効にすることができる。簡単な例では、低デューティ期間中のユーザからのパケットのバーストによって送信側および受信側のIDが知られることがある。
ファイアウォールは、許可されていないアクセスや、LANに接続されたコンピュータの悪意ある使用またはそのようなコンピュータに対する損害からLANを保護することを試みる。ファイアウォールは、管理オーバヘッドを維持することを必要とする中央化システムである。ファイアウォールは、仮想マシン・アプリケーション(「アプレット」)によって打破することができる。このようなアプリケーションは、たとえば、ユーザがファイアウォールの外部のサーバに機密情報を送信したり、モデムを使用してファイアウォール・セキュリティを回避することを勧めたりすることによってセキュリティ違反を引き起こすセキュリティの誤った意味を浸透させる。ファイアウォールは、出張旅行者、エクストラネット、小規模なチームなどの分散システムには有用ではない。
発明の概要
トンネル・アジル・ルーティング・プロトコル(TARP)と呼ばれるプロトコルを含む、インタネットを介して通信する安全機構は、固有の2レイヤ暗号化フォーマットおよび特殊なTARPルータを使用する。TARPルータは、機能が正規のIPルータと類似している。各TARPルータは、1つまたは複数のアドレスを有し、通常のIPプロトコルを使用してIPパケット・メッセージ(「パケット」または「データグラム」)を送信する。TARPルータを介してTARP端末間で交換されるIPパケットは、TARPルータおよびサーバ以外には真の着信先アドレスが隠される実際に暗号化されたパケットである。TARP IPパケットに付加された通常のIPヘッダまたは「平文」IPヘッダまたは「外部」IPヘッダは、次のホップ・ルータまたは着信先サーバのアドレスのみを含む。すなわち、TARPパケットのIPヘッダは、IPヘッダの着信先フィールドで最終着信先を示すのではなく、常に、一連のTARPルータ・ホップ内の次のホップまたは最終着信先を指し示す。このことは、着信先は常に次のホップTARPルータおよび最終着信先であるので、傍受されたTARPパケットにはそのTARPパケットの真の着信先を明白に示すものがないことを意味する。
各TARPパケットの真の着信先は、リンク鍵を使用して生成された暗号化層に隠される。リンク鍵は、発信元TARP端末と着信先TARP端末との間に介在するホップ間の暗号化された通信に使用される暗号化鍵である。各TARPルータは、暗号化アウタ・レイヤを除去して各TARPパケットの着信先ルータを知ることができる。受信側TARPまたはルーティング端末は、TARPパケットの暗号化アウタ・レイヤを復号するのに必要なリンク鍵を識別するために、平文IPヘッダ内の送信側/受信側IP番号によって送信側端末を識別することができる。
暗号化アウタ・レイヤが除去された後、TARPルータは最終着信先を判定する。各TARPパケット140は、トラフィック分析を無効にする助けとなるように最小数のホップを受ける。ホップは、無作為に選択することができ、あるいは一定の値でもよい。その結果、各TARPパケットは、着信先に到着する前に地理的に異なるいくつかのルータの間を無作為に移動することができる。各移動は、独立に無作為に決定されるので、所与のメッセージを構成する各パケットごとに異なる可能性が非常に高くなる。この機能をアジル・ルーティングと呼ぶ。様々なパケットがそれぞれの異なる経路をとるため、侵入者が、マルチパケット・メッセージ全体を形成するすべてのパケットを得ることは困難になる。これに伴う利点は、後述の暗号化インナレイヤに関する利点である。アジル・ルーティングは、この目的を促進する他の機能、すなわち、あらゆるメッセージが複数のパケットに分割されるようにする機能と組み合される。
TARPルータのIPアドレスは一定でなくてよく、この機能をIPアジリティと呼ぶ。各TARPルータは、独立して、あるいは他のTARP端末またはTARPルータからの指示の下で、IPアドレスを変更することができる。変更可能な別の識別子またはアドレスも定義される。このアドレスは、TARPアドレスと呼ばれ、TARPルータおよびTARP端末のみに知られ、いつでもTARPルータまたはTARP端末によって参照テーブル(LUT)を使用して相関付けることができる。TARPルータまたはTARP端末は、IPアドレスを変更したときに、他のTARPルータまたはTARP端末を更新し、これらのTARPルータまたはTARP端末はそれぞれのLUTを更新する。
メッセージ・ペイロードは、セッション鍵を使用しないかぎりロック解除できない、TARPパケット内の暗号化インナレイヤに隠される。セッション鍵は、介入するTARPルータがいずれも利用できない鍵である。セッション鍵は、TARPパケットのペイロードを復号し、データ・ストリームを再構成できるようにするために使用される。
リンク鍵およびセッション鍵を使用して通信を公開されないようにすることができ、任意の所望の方法に従ってリンク鍵およびセッション鍵を共用し使用することができる。たとえば、公開/専用鍵または対称鍵を使用することができる。
TARP発信元端末は、データ・ストリームを送信する場合、ネットワーク(IP)層プロセスによって生成された一連のIPパケットから一連のTARPパケットを構成する。(本明細書で使用される「ネットワーク層」、「データ・リンク層」「アプリケーション層」などが開放形システム間相互接続(OSI)ネットワーク用語に対応することに留意されたい。)これらのパケットのペイロードは、セッション鍵を使用して暗号化されたブロックおよびチェーン・ブロックとして組み立てられる。もちろん、この場合、すべてのIPパケットが同じTARP端末を着信先としているものと仮定する。このブロックは次いでインタリーブされ、インタリーブされた暗号化済みブロックは、生成すべき各TARPパケットごとに1つの一連のペイロードに分割される。次いで、データ・ストリーム・パケットから得たIPヘッダを使用して、各ペイロードに特殊なTARPヘッダIPrが付加される。TARPヘッダは、通常のIPヘッダと同一であってよく、あるいは何らかの方法でカスタマイズすることができる。TARPヘッダは、着信先TARP端末でデータをインタリーブ解除するための方式またはデータ、実行すべきホップの数を示すタイム・ツー・リブ(TTL)パラメータ、ペイロードがたとえば、TCPデータを含むか、それともUDPデータを含むかを示すデータ・タイプ識別子、送信側のTARPアドレス、着信先TARPアドレス、パケットが実際のデータを含むか、それともデコイ・データを含むかに関するインディケータ、またはデコイ・データがTARPペイロード・データを通じてある方法で流布される場合にデコイ・データを除去する方式を含むべきである。
本明細書ではセッション鍵に関してチェーン・ブロック暗号化を論じているが、任意の暗号化方法を使用できることに留意されたい。好ましくは、チェーン・ブロック暗号化と同様に、暗号化プロセスの結果全体が得られないかぎり許可されない復号が困難にする方法を使用すべきである。したがって、暗号化されたブロックを複数のパケット間で分離し、侵入者がすべてのそのようなパケットにアクセスするのを困難にすることによって、通信のコンテンツに特別なセキュリティ・レイヤが与えられる。
ピーク・ツー・アベレージ・ネットワーク負荷を低減させることによってトラフィック分析を無効にするための助けになるように、デコイ・データまたはダミー・データをストリームに付加することができる。インタネット内のある点での通信バーストを他の点での通信バーストに結合して通信エンドポイントを知ることができなくなるように、時間またはその他の基準に応答して低トラフィック期間中により多くのデコイ・データを生成する能力をTARPプロセスに付与することが望ましい。
ダミー・データは、データをより多くの目立たないサイズのパケットに分割して、インタリーブウインドウのサイズを大きくすることを可能にし、同時に各パケットごとに合理的なサイズを維持するうえでも助けになる。(パケット・サイズは、単一の標準サイズでよく、あるいは一定の範囲のサイズから選択することができる。)各メッセージを複数のパケットに分割することが望ましい1つの主要な理由は、インタリーブの前にチェーン・ブロック暗号化方式を使用して第1の暗号化レイヤが形成される場合に明らかである。メッセージの一部または全体に単一のブロック暗号化を適用し、次いでその部分または全体をインタリーブしていくつかの別々のパケットを得ることができる。パケットのアジルIPルーティングと、それに伴い、パケットのシーケンス全体を再構成して、ブロック暗号化された単一のメッセージ要素を形成するのが困難であることを考えると、デコイ・パケットがデータ・ストリーム全体を再構成することの困難さを著しく増大させることがわかる。
上記の方式は、データ・リンク層と、TARPシステムに参加している各サーバまたは端末のネットワーク層との間で動作するプロセスによって完全に実施することができる。上述の暗号化システムはデータ・リンク層とネットワーク層との間に挿入することができるので、暗号化された通信をサポートするうえで使用されるプロセスは、IP(ネットワーク)層以上でのプロセスに対して完全に透過的であってよい。TARPプロセスは、データ・リンク層のプロセスに対しても完全に透過的であってよい。したがって、ネットワーク層以上での動作も、データ・リンク層以下での動作も、TARPスタックを挿入することの影響を受けない。これにより、(たとえば、ハッカーによる)ネットワーク層への許可されないアクセスの困難さが大幅に増大するので、ネットワーク層以上でのすべてのプロセスに追加のセキュリティがもたらされる。セッション層で実行される新たに開発されたサーバの場合でも、セッション層よりも下のすべてのプロセスが侵害される可能性がある。このアーキテクチャでは、セキュリティが分散されることに留意されたい。すなわち、たとえば、移動中の管理職によって使用されるノートブック・コンピュータは、セキュリティを損なうことなくインタネットを介して通信することができる。
TARP端末およびTARPルータによるIPアドレス変更は、一定の間隔または無作為の間隔で行うことも、あるいは「侵入」が検出されたときに行うこともできる。IPアドレスを変更することにより、どのコンピュータが通信しているかを知ることのできるトラフィック分析が抑制され、侵入に対するある程度の保護ももたらされる。侵入に対する保護の程度は、ホストのIPアドレスが変更される率にほぼ比例する。
前述のように、IPアドレスは侵入に応答して変更することができる。たとえば、ルータがある方法で調べられていることを示す組織だった一連のメッセージによって、侵入を知ることができる。侵入が検出されると、TARP層プロセスは、そのIPアドレスを変更することによってこのイベントに応答することができる。また、TARP層プロセスは、最初のIPアドレスを維持し、ある方法で侵入者との対話を続けるサブプロセスを作成することができる。
デコイ・パケットは、アルゴリズムによって決定されるある基準に従って各TARP端末によって生成することができる。たとえば、アルゴリズムは、端末がアイドル状態であるときに無作為にパケットを生成することを要求するランダム・アルゴリズムでよい。あるいは、アルゴリズムは、時間または低トラフィックの検出に応答して低トラフィック時により多くのデコイ・パケットを生成することができる。パケットが好ましくは、1つずつ生成されるのではなく、実際のメッセージをシミュレートするようなサイズのグループとして生成されることに留意されたい。また、デコイ・パケットを通常のTARPメッセージ・ストリームに挿入できるように、バックグラウンド・ループは、メッセージ・ストリームが受信されているときにデコイ・パケットを挿入する可能性を高くするラッチを有することができる。あるいは、多数のデコイ・パケットが正規のTARPパケットと共に受信される場合、アルゴリズムは、これらのデコイ・パケットを転送するのではなくそれらを除去する率を高くすることができる。このようにデコイ・パケットを除去し生成すると、見掛けの着信メッセージ・サイズが見掛けの発信メッセージ・サイズと異なるものになり、トラフィック分析を無効にすることができる。
本発明の他の様々な態様では、ネットワーク内の各通信ノード・ペアに複数のIPアドレスが事前に割り当てられるシステムのスケーリング可能なバージョンを構成することができる。各ノード・ペアは、IPアドレス(送信側と受信側の両方)間の「ホッピング」に関するアルゴリズムに合意し、したがって、盗聴者は、通信ノード・ペアの間で送信されるパケットにおいて見掛け上連続する無作為のIPアドレスを見る。各ノードは、合意されたアルゴリズムによる妥当な送信元/着信先ペアを含むことを検証するに過ぎないので、同じサブネット上の数人の異なるユーザに重複するIPアドレスまたは「再使用可能な」IPアドレスを割り付けることができる。好ましくは、IPブロック・サイズが限られているか、あるいはセッションが長いために必要とされないかぎり、所与のエンド・ツー・エンド・セッション中に2つのノード間で送信元/着信先ペアを再使用することはない。
従来技術の態様によるインタネットを介した安全な通信の図である。 本発明の態様によるインタネットを介した安全な通信の図である。 本発明の態様によるトンネル化IPパケットを形成するプロセスの図である。 本発明の他の態様によるトンネル化IPパケットを形成するプロセスの図である。 本発明を実施するために使用できるプロセスのOSI層位置の図である。 本発明によるトンネル化パケットをルーティングするプロセスを示すフローチャートである。 本発明の態様による、トンネル化パケットを形成するプロセスを示すフローチャートである。 本発明の態様による、トンネル化パケットを受信するプロセスを示すフローチャートである。 クライアントとTARPルータとの間で安全なセッションを確立し同期させるにはどうすべきかを示す図である。 各コンピュータ内の送信テーブルおよび受信テーブルを使用したクライアント・コンピュータとTARPルータとの間のIPアドレス・ホッピング方式を示す図である。 3つのインタネット・サービス・プロバイダ(ISP)およびクライアント・コンピュータの間の物理リンク冗長性を示す図である。 イーサネット(登録商標)・フレームなど単一の「フレーム」に複数のIPパケットを埋め込むにはどうすべきかを示し、ディスクリミネータ・フィールドを使用して真のパケット受信側を隠すにはどうすべきかをさらに示す図である。 ホップされるハードウェアのアドレス、ホップされるIPアドレス、およびホップされるディスクリミネータ・フィールドを使用するシステムを示す図である。 ハードウェア・アドレス、IPアドレス、ディスクリミネータ・フィールドの組合せをホップするためのいくつかの異なる手法を示す図である。 部分的に公開される同期値を使用することによって送信側と受信側との間の同期を自動的に再確立する技法を示す図である。 送信側と受信側との間の同期を回復する「チェックポイント」方式を示す図である。 図14のチェックポイント方式の詳細を示す図である。 2つのアドレスを複数のセグメントに分解して存在ベクトルと比較するにはどうすべきかを示す図である。
態様の詳細な説明
図2を参照するとわかるように、インタネットを介して通信する安全機構は、各ルータが、1つまたは複数のIPアドレスを有しており、かつ通常のIPプロトコルを使用して、TARPパケット140と呼ばれる、通常のパケットと同様なIPパケット・メッセージを送信するという点で、正規のIPルータ128〜132と類似している、TARPルータ122〜127と呼ばれるいくつかの特殊なルータまたはサーバを使用する。TARPパケット140は、それぞれが通常のIPパケットと同様に着信先アドレスを含むので、正規のIPルータ128〜132によってルーティングされる通常のIPパケット・メッセージと同一である。しかし、TARPパケット140 IPヘッダは、IPヘッダの着信先フィールドで最終着信先を示す示すのではなく、常に、一連のTARPルータ・ホップ内の次のホップまたは最終着信先、すなわちTARP端末110を指し示す。TARPパケットのヘッダが次のホップ着信先のみを含むため、着信先は常に、次のホップTARPルータおよび最終着信先、すなわちTARP端末110であるので、傍受されたTARPパケットにはそのTARPパケットの真の着信先を明白に示すものがない。
各TARPパケットの真の着信先は、リンク鍵146を使用して生成された暗号化アウタ・レイヤに隠される。リンク鍵146は、発信元TARP端末100と着信先TARP端末110を接続するホップのチェーン内の単一のリンクのエンド・ポイント(TARP端末またはTARPルータ)間の暗号化された通信に使用される暗号化鍵である。各TARPルータ122〜127は、チェーン内の前のホップとに通信に使用するリンク鍵146を使用してTARPパケットの真の着信先を知ることができる。受信側TARPまたはルーティング端末は、TARPパケットの暗号化アウタ・レイヤを復号するのに必要なリンク鍵を識別するために、平文IPヘッダの送信側フィールドによって(使用されるリンク鍵を示すことのできる)送信側端末を識別することができる。あるいは、平文IPヘッダ内の利用可能なビット内の他の暗号化レイヤにこのIDを隠すことができる。各TARPルータは、TARPメッセージを受信すると、TARPパケット内の認証データを使用することによって、そのメッセージがTARPメッセージであるかどうかを判定する。これは、TARPパケットのIPヘッダ内の利用可能なバイトに記録することができる。あるいは、リンク鍵146を使用して復号を試み、結果が予期されていた結果であるかどうかを判定することによって、TARPパケットを認証することができる。この方法は復号プロセスを伴わないので計算面の利点を有する。
TARPルータ122〜127によって復号アウタ・レイヤが完成した後、TARPルータは最終着信先を判定する。システムは好ましくは、トラフィック分析を無効にする助けになるように各TARPパケット140に最小数のホップを受けさせるように構成される。TARPメッセージのIPヘッダ内のタイム・ツー・リブ・カウンタを使用して、完了すべき残りのTARPルータ・ホップの数を示すことができる。各TARPルータは次いで、このカウンタを減分し、それにより、TARPパケット140を他のTARPルータ122〜127に転送すべきか、それとも着信先TARP端末110に転送すべきかを判定する。タイム・ツー・リブ・カウンタが減分後にゼロ以下になった場合、使用例として、TARPパケット140を受信したTARPルータは、このTARPパケット140を着信先TARP端末110に転送することができる。タイム・ツー・リブ・カウンタが減分後にゼロを超えた場合、使用例として、TARPパケット140を受信したTARPルータは、この現在のTARP端末によって無作為に選択されたTARP端末122〜127にこのTARPパケット140を転送することができる。その結果、各TARPパケット140は、無作為に選択されたTARPルータ122〜127の最小数のホップを通してルーティングされる。
したがって、各TARPパケットは、インタネット内のトラフィックを判定する従来の因子とは無関係に、着信先に到着する前に地理的に異なるいくつかのルータの間を無作為に移動し、各移動は、上述のように独立に無作為に決定されるので、所与のメッセージを構成する各パケットごとに異なる可能性が非常に高くなる。この機能をアジル・ルーティングと呼ぶ。まもなく明らかになる理由により、様々なパケットがそれぞれの異なる経路をとるため、侵入者が、マルチパケット・メッセージ全体を形成するすべてのパケットを得ることは困難になる。アジル・ルーティングは、この目的を促進する他の機能、すなわち、あらゆるメッセージが複数のパケットに分割されるようにする機能と組み合される。
TARPルータは、TARPルータによって使用されているIPアドレスがTARPパケットのIPヘッダIPC内のIPアドレスと一致するときにTARPパケットを受信する。しかし、TARPルータのIPアドレスは一定でなくてよい。侵入を回避し管理するために、各TARPルータは、独立して、あるいは他のTARP端末またはTARPルータからの指示の下で、IPアドレスを変更することができる。変更可能な別の識別子またはアドレスも定義される。このアドレスは、TARPアドレスと呼ばれ、TARPルータおよびTARP端末のみに知られ、いつでもTARPルータまたはTARP端末によって参照テーブル(LUT)を使用して相関付けることができる。TARPルータまたはTARP端末は、IPアドレスを変更したときに、他のTARPルータまたはTARP端末を更新し、これらのTARPルータまたはTARP端末はそれぞれのLUTを更新する。実際、TARPルータは、暗号化されたヘッダ内の着信先のアドレスを参照するときは常に、ルータ自体のLUTを使用してTARPアドレスを実際のIPアドレスに変換しなければならない。
TARPパケットを受信したあらゆるTARPルータは、パケットの最終着信先を判定することができるが、メッセージ・ペイロードは、セッション鍵を使用しないかぎりロック解除できないTARPパケット内の暗号化インナレイヤに埋め込まれる。発信元TARP端末100と着信先TARP端末110との間に介在するTARPルータ122〜127はセッション鍵を利用することができない。セッション鍵を使用してTARPパケット140のペイロードを復号し、メッセージ全体を再構成することができる。
一態様では、リンク鍵およびセッション鍵を使用して通信を公開されないようにすることができ、任意の所望の方法に従ってリンク鍵およびセッション鍵を共用し使用することができる。たとえば、公開鍵法を使用して、リンク・エンドポイントまたはセッション・エンドポイント間で公開鍵または対称鍵を伝達することができる。許可されたコンピュータのみがTARPパケット140内のプライベート情報にアクセスできるようにデータのセキュリティを確保する他の様々な機構のいずれかを必要に応じて使用することができる。
図3Aを参照するとわかるように、一連のTARPパケットを構成する場合、IPパケット207a、207b、207cなどのデータ・ストリーム300、すなわち、ネットワーク(IP)層プロセスによって形成された一連のパケットが、一連の小さなセグメントに分割される。この例では、等しいサイズのセグメント1〜9が定義され、これらを使用して、1組のインタリーブされたデータ・パケットA、B、およびCが構成される。この場合、形成されるインタリーブされたパケットA、B、およびCの数を3つと仮定し、インタリーブされた3つのパケットA、B、およびCを形成するために使用されるIPパケット207a〜207cの数も3つと仮定する。もちろん、インタリーブされたパケットのグループに展開されるIPパケットの数は、着信データ・ストリームが展開されたインタリーブされたパケットの数と同様に任意の好都合な数でよい。データ・ストリームが展開されたインタリーブされたパケットの数をインタリーブウインドウと呼ぶ。
送信側ソフトウェアは、パケットを作成する場合、通常のIPパケット207aおよび後続のパケットをインタリーブして、新しい1組のインタリーブされたペイロード・データ320を形成する。このペイロード・データ320は次いで、各データA、B、およびCがTARPパケットのペイロードを形成する、セッション鍵で暗号化された1組のペイロード・データ330を、セッション鍵を使用して形成することによって暗号化される。最初のパケット207a〜207cのIPヘッダ・データを使用して、新しいTARPパケットIPTが形成される。TARPパケットIPTは、通常のIPヘッダと同一でよく、あるいは何らかの方法でカスタマイズすることができる。好ましい態様では、TARPパケットIPTは、メッセージのルーティングおよび再構成に必要な以下の情報を提供する追加のデータを含むIPヘッダである。このデータのいくつかは通常、通常のIPヘッダに含まれており、あるいは通常のIPヘッダに含めることができる。
1.ウインドウシーケンス番号−最初のメッセージ・シーケンス内でパケットがどこに属するかを示す識別子。
2.インタリーブ・シーケンス番号−パケットをインタリーブウインドウ内の他のパケットと共にインタリーブ解除できるようにパケットを形成するために使用されるインタリーブ・シーケンスを示す識別子。
3.タイム・ツー・リブ(TTL)データ−パケットがその着信先に到着する前に実行すべきTARPルータ・ホップの数を示す。TTLパラメータが、パケットを着信先にルーティングすべきか、それとも他のホップにルーティングすべきかを判定するための確率公式で使用すべきデータを提供できることに留意されたい。
4.データ・タイプ識別子−ペイロードが、たとえばTCPデータを含むべきか、それともUDPデータを含むべきかを示す。
5.送信側のアドレス−TARPネットワーク内の送信側のアドレスを示す。
6.着信先アドレス−TARPネットワーク内の着信先端末のアドレスを示す。
7.デコイ/実−パケットが実際のメッセージ・データを含むか、それともダミー・デコイ・データを含むか、それとも組合せを含むかのインディケータ。
自明のことながら、単一のインタリーブウインドウに入るパケットは、共通の着信先を有するパケットのみを含まなければならない。したがって、図の例では、IPパケット207a〜207cのIPヘッダはすべて、同じ着信先アドレスを含むか、あるいはインタリーブ解除できるように少なくとも同じ端末によって受信されるものと仮定されている。他の場合に所与のメッセージのサイズによって必要とされるよりも大きなインタリーブウインドウを形成するようにダミーまたはデコイ・データまたはパケットを追加できることに留意されたい。デコイ・データまたはダミー・データをストリームに付加してネットワーク上の負荷を一様にすることにより、トラフィック分析を無効にする助けにすることができる。したがって、インタネット内のある点での通信バーストを他の点での通信バーストに結合して通信エンドポイントを知ることができなくなるように、時間またはその他の基準に応答して低トラフィック期間中により多くのデコイ・データを生成する能力をTARPプロセスに付与することが望ましい。
ダミー・データは、データをより多くの目立たないサイズのパケットに分割して、インタリーブウインドウのサイズを大きくすることを可能にし、同時に各パケットごとに合理的なサイズを維持するうえでも助けになる。(パケット・サイズは、単一の標準サイズでよく、あるいは一定の範囲のサイズから選択することができる。)各メッセージを複数のパケットに分割することが望ましい1つの主要な理由は、インタリーブの前にチェーン・ブロック暗号化方式を使用して第1の暗号化レイヤが形成される場合に明らかである。メッセージの一部または全体に単一のブロック暗号化を適用し、次いでその部分または全体をインタリーブしていくつかの別々のパケットを得ることができる。
図3Bを参照するとわかるように、TARPパケット構成の代替態様では、一連のIPパケットが蓄積され所定のインタリーブウインドウが形成される。パケットのペイロードを使用し、セッション鍵を使用して、チェーン・ブロック暗号化用の単一のブロック520が構成される。ブロックを形成するために使用されるペイロードは、同じ端末を着信先とするものと仮定する。ブロック・サイズは、図3Bの態様例に示されたインタリーブウインドウと一致することができる。暗号化の後で、暗号化されたブロックは別々のペイロードおよびセグメントに分割され、これらのペイロードおよびセグメントが図3Aの態様のようにインタリーブされる。結果として得られるインタリーブされたパケットA、B、およびCは次いで、図3Aの例のようにTARPヘッダを有するTARPパケットとしてパッケージングされる。残りのプロセスは、図3Aに示され、図3Aを参照して論じられるとおりである。
TARPパケット340が形成された後、TARPヘッダIPTを含む各TARPパケット340全体が、第1のホップTARPルータと通信するためのリンク鍵を使用して暗号化される。第1のホップTARPルータは無作為に選択される。暗号化された各TARPパケット240に最後の未暗号化IPヘッダIPCが付加され、TARPルータに送信できる通常のIPパケット360が形成される。TARPパケット360を構成するプロセスを前述のように段階的に行う必要がないことに留意されたい。上記の説明は、最終プロダクト、すなわち、TARPパケットを説明するための有用なヒューリスティックに過ぎない。
TARPパケットIPTを、上記で識別された情報を含むことを除いて、通常のIPヘッダとはまったく異なる完全なカスタム・ヘッダ構成にすることができることに留意されたい。これは、このヘッダがTARPルータによってのみ解釈されるからである。
上記の方式は、TARPシステムに参加している各サーバまたは端末のデータ・リンク層とネットワーク層との間で動作するプロセスによって完全に実施することができる。図4を参照するとわかるように、TARPトランシーバ405は発信元端末100、着信先端末110、またはTARPルータ122〜127でよい。各TARPトランシーバ405において、ネットワーク(IP)層から通常のパケットを受信し、ネットワークを介して伝達できるTARPパケットを生成する送信側プロセスが生成される。TARPパケットを含む通常のIPパケットを受信し、このIPパケットから、ネットワーク(IP)層に「渡される」通常のIPパケットを生成する受信側プロセスが生成される。TARPトランシーバ405がルータである場合、受信されたTARPパケット140は、適切なTARPパケットとして認証され、次いで他のTARPルータまたはTARP着信先端末110に渡されるだけでよいので、IPパケット415のストリームとして処理されないことに留意されたい。介入するプロセス、すなわち「TARP層」420をデータ・リンク層430またはネットワーク層410と組み合わせることができる。いずれの場合も、このプロセスは、埋め込まれたTARPパケットを含む正規のIPパケットを受信し、一連の組立て直されたIPパケットをネットワーク層410に「渡す」ようにデータ・リンク層430に介入する。TARP層420をデータ・リンク層430と組み合わせる例として、プログラムによって、通信カード、たとえばイーサネット(登録商標)・カードを実行する通常のプロセスを拡張することができる。あるいは、TARP層プロセスは、動的にロード可能なモジュールの、ロードされネットワーク層とデータ・リンク層の間の通信をサポートするように実行される部分を形成することができる。
上述の暗号化システムはデータ・リンク層とネットワーク層との間に挿入することができるので、暗号化された通信をサポートするうえで使用されるプロセスは、IP(ネットワーク)層以上でのプロセスに対して完全に透過的であってよい。TARPプロセスは、データ・リンク層に対しても完全に透過的であってよい。したがって、ネットワーク層以上での動作も、データ・リンク層以下での動作も、TARPスタックを挿入することの影響を受けない。これにより、(たとえば、ハッカーによる)ネットワーク層への許可されないアクセスの困難さが大幅に増大するので、ネットワーク層以上でのすべてのプロセスに追加のセキュリティがもたらされる。セッション層で実行される新たに開発されたサーバの場合でも、セッション層よりも下のすべてのプロセスが侵害される可能性がある。このアーキテクチャでは、セキュリティが分散されることに留意されたい。すなわち、たとえば、移動中の管理職によって使用されるノートブック・コンピュータは、セキュリティを損なうことなくインタネットを介して通信することができる。
TARP端末およびTARPルータによるIPアドレス変更は、一定の間隔または無作為の間隔で行うことも、あるいは「侵入」が検出されたときに行うこともできる。IPアドレスを変更することにより、どのコンピュータが通信しているかを知ることのできるトラフィック分析が抑制され、侵入に対するある程度の保護ももたらされる。侵入に対する保護の程度は、ホストのIPアドレスが変更される率にほぼ比例する。
前述のように、IPアドレスは侵入に応答して変更することができる。たとえば、ルータがある方法で調べられていることを示す組織だった一連のメッセージによって、侵入を知ることができる。侵入が検出されると、TARP層プロセスは、そのIPアドレスを変更することによってこのイベントに応答することができる。TARPプロセスは、これを行うために、一例としてインタネット制御メッセージ・プロトコル(ICMP)データグラムの形式で、TARPフォーマットのメッセージを構成する。このメッセージは、マシンのTARPアドレス、マシンの前のIPアドレス、およびマシンの新しいIPアドレスを含む。TARP層は、このパケットを少なくとも1つの既知のTARPルータに送信し、このTARPルータは、メッセージを受信し、その妥当性を確認した後、前述のTARPアドレスの新しいIPアドレスでルータ自体のLUTを更新する。TARPルータは次いで、同様なメッセージを作成し、他のTARPルータがLUTを更新できるようにそれらのTARPルータにこのメッセージをブロードキャストする。所与のサブネット上のTARPルータの総数は比較的小さいことが予期されるので、この更新プロセスは比較的高速であるべきである。しかし、このプロセスは、比較的小数のTARPルータおよび/または比較的多数のクライアントがあるときにはうまく作用しないことがある。このため、このアーキテクチャはスケーリング可能性を実現するように改良されている。この改良によって、後述の第2の態様が得られた。
TARPプロセスは、侵入を検出したときに、最初のIPアドレスを維持し、侵入者との対話を続けるサブプロセスを作成することもできる。この対話によって、侵入者を追跡するか、あるいは侵入者の方法を研究する機会を得ることができる(金魚鉢のことを海と「考えている」が、実際には捕えられ観察されている金魚鉢内の小さな魚にたとえて「フィッシュボウリング」と呼ばれる)。侵入者と破棄された(フィッシュボウルされた)IPアドレスとの間の通信の履歴を、人間が分析できるように記録または送信するか、あるいはある方法で応答するためにさらに合成することができる。
上述のように、TARP端末またはTARPルータによって発信データにデコイまたはダミー・データまたはパケットを付加することができる。このようなデコイ・パケットは、より多くの別々のパケットにデータを好都合に分散するだけでなく、トラフィック分析の試みを無効にする助けになるようにインタネットのイナクティブ部分上の付加を均一にすることもできる。
デコイ・パケットは、アルゴリズムによって決定されるある基準に従って各TARP端末100、110または各ルータ122〜127によって生成することができる。たとえば、アルゴリズムは、端末がアイドル状態であるときに無作為にパケットを生成することを要求するランダム・アルゴリズムでよい。あるいは、アルゴリズムは、時間または低トラフィックの検出に応答して低トラフィック時により多くのデコイ・パケットを生成することができる。パケットが好ましくは、1つずつ生成されるのではなく、実際のメッセージをシミュレートするようなサイズのグループとして生成されることに留意されたい。また、デコイ・パケットを通常のTARPメッセージ・ストリームに挿入できるように、バックグラウンド・ループは、メッセージ・ストリームが受信されているときにデコイ・パケットを挿入する可能性を高くするラッチを有することができる。すなわち、一連のメッセージが受信されるときに、デコイ・パケット生成率を高めることができる。あるいは、多数のデコイ・パケットが正規のTARPパケットと共に受信される場合、アルゴリズムは、これらのデコイ・パケットを転送するのではなくそれらを除去する率を高くすることができる。このようにデコイ・パケットを除去し生成すると、見掛けの着信メッセージ・サイズが見掛けの発信メッセージ・サイズと異なるものになり、トラフィック分析を無効にすることができる。デコイ・パケットであるか、それとも他のパケットであるかにかかわらず、パケットの受信率を、ペリッシャブル・デコイ・正規パケット・カウンタを通してデコイ・パケット除去プロセスおよびデコイ・パケット生成プロセスに示すことができる。(ぺリッシャブル・カウンタは、急速に連続して増分されたときに大きな値を含み、低速で増分されるかあるいは少ない回数だけ急速に連続して増分されたときには小さな値を含むように時間に応答して値をリセットまたは減分するカウンタである。)着信先TARP端末110が、単にパケットをルーティングしており、したがって、着信先端末でないように見えるように、受信されたTARPパケットと数およびサイズの等しいデコイ・パケットを生成できることに留意されたい。
図5を参照するとわかるように、TARPパケットをルーティングする上述の方法で以下の特定のステップを使用することができる。
・S0 デコイIPパケットの生成を決定するアルゴリズムを適用するバックグラウンド・ループ動作が実行される。このループは、暗号化されたTARPパケットが受信されたときに割り込まれる。
・S2 TARPパケットを、リンク鍵を使用して復号することを試みる前に、何らかの方法で調べて認証することができる。すなわち、ルータは、ペイロードに含まれる暗号化されたTARPパケットに付加された平文IPヘッダと共に含まれるあるデータに対して選択された動作を実行することによって、パケットが真正なTARPパケットであることを判定することができる。これによって、真正なTARPパケットではないパケットに復号を実行することを避けることが可能になる。
・S3 TARPパケットが復号され、着信先TARPアドレスと、このパケットがデコイ・パケットであるか、それとも実際のメッセージの一部であるかが明らかになる。
・S4 このパケットがデコイ・パケットである場合、ペリッシャブル・デコイ・カウンタが増分される。
・S5 ルータは、デコイ生成/除去アルゴリズムおよびペリッシャブル・デコイ・カウンタ値に基づいて、パケットがデコイ・パケットである場合には、それを破棄することを選択することができる。受信されたパケットがデコイ・パケットであり、これを破棄すべきであると判定された場合(S6)、制御はステップS0に戻る。
・S7 TARPヘッダのTTLパラメータが減分され、TTLパラメータがゼロより大きいかどうかが判定される。
・S8 TTLパラメータがゼロよりも大きい場合、ルータによって維持されているTARPアドレスのリストからTARPアドレスが無作為に選択され、このTARPアドレスに対応するリンク鍵およびIPアドレスが、このTARPパケットを含む新しいIPパケットを作成する際に使用できるように記憶される。
・S9 TTLパラメータがゼロ以下である場合、着信先のTARPアドレスに対応するリンク鍵およびIPアドレスが、このTARPパケットを含む新しいIPパケットを作成する際に使用できるように記憶される。
・S10 TARPパケットが、記憶されたリンク鍵を使用して暗号化される。
・S11 記憶されたIPアドレスを含むパケットにIPヘッダが付加され、暗号化されたTARPパケットがIPヘッダで覆われ、完成したパケットが次のホップまたは着信先に送信される。
図6を参照するとわかるように、TARPパケットを生成する上述の方法では以下の特定のステップを使用することができる。
・S20 バックグラウンド・ループ動作が、デコイIPパケットの生成を決定するアルゴリズムを適用する。このループは、IPパケットを含むデータ・ストリームが、後で送信できるように受信されたときに割り込まれる。
・S21 受信されたIPパケットが、一定のIP着信先アドレスを有するメッセージから成る集合としてグループ化される。この集合はさらに、インタリーブウインドウの最大サイズに一致するように分割される。集合が暗号化されインタリーブされ、TARPパケットになる予定の1組のペイロードが得られる。
・S22 IPアドレスに対応するTARPアドレスが、参照テーブルから判定され、TARPヘッダを生成するために記憶される。初期TTLカウントが生成され、ヘッダに格納される。TTLカウントは、最小値および最大値を有する無作為の値でも、あるいは一定の値でもよく、あるいは他の何らかのパラメータによって決定することができる。
・S23 ウインドウシーケンス番号およびインタリーブ・シーケンスが各パケットのTARPヘッダに記録される。
・S24 各TARPパケットごとに1つのTARPルータ・アドレスが無作為に選択され、このアドレスに対応するIPアドレスが、平文IPヘッダで使用できるように記憶される。このルータに対応するリンク鍵が識別され、インタリーブされ暗号化されたデータおよびTARPヘッダを含むTARPパケットが、このリンク鍵を使用して暗号化される。
・S25 第1のホップ・ルータの実際のIPアドレスを有する平文IPヘッダが生成され、暗号化されたTARPパケットおよび結果として得られるパケットのそれぞれに付加される。
図7を参照するとわかるように、TARPパケットを受信する上述の方法で以下の特定のステップを使用することができる。
・S40 デコイIPパケットの生成を決定するアルゴリズムを適用するバックグラウンド・ループ動作が実行される。このループは、暗号化されたTARPパケットが受信されたときに割り込まれる。
・S42 TARPパケットが、リンク鍵を使用して復号される前に、調べられ認証される。
・S43 TARPパケットが適切なリンク鍵を用いて復号され、着信先TARPアドレスと、このパケットがデコイ・パケットであるか、それとも実際のメッセージの一部であるかが明らかになる。
・S44 このパケットがデコイ・パケットである場合、ペリッシャブル・デコイ・カウンタが増分される。
・S45 受信側は、デコイ生成/除去アルゴリズムおよびペリッシャブル・デコイ・カウンタ値に基づいて、パケットがデコイ・パケットである場合には、それを破棄することを選択することができる。
・S46 インタリーブウインドウを形成するすべてのパケットが受信されるまでTARPパケットがキャッシュされる。
・S47 インタリーブウインドウのすべてのパケットが受信された後、パケットがインタリーブ解除される。
・S48 次いで、インタリーブウインドウを形成する組み合わされた各パケットのパケット・ブロックが、セッション鍵を使用して復号される。
・S49 次いで、復号されたブロックが、ウインドウシーケンス・データを使用して分割され、IPrヘッダが通常のIPCヘッダに変化される。ウインドウシーケンス番号がIPCヘッダに組み込まれる。
・S50 次いで、パケットがIPレイヤ・プロセスに渡される。
スケーリング可能性の向上
上述のIPアジリティ機能は、IPアドレスの変更をすべてのTARPルータに送信する能力に依存する。この機能を含む各態様は、インタネットなど大規模なネットワーク向けにこのような機能をスケーリングする際の潜在的な制限のために「ブティック」態様と呼ばれる。(しかし、ブティック態様は、たとえば、小規模な仮想専用網など小規模なネットワークで使用する場合にはロバストである)。ブティック態様の1つの問題は、IPアドレスの変更が頻繁に行われる場合、すべてのルータを十分に高速に更新するのに必要なメッセージ・トラフィックのために、TARPルータおよび/またはクライアントの数が非常に多くなるとインタネットに大きな負荷が掛かる。すべてのTARPルータを更新するために使用される帯域幅負荷であって、たとえばICMPパケットにおいてネットワークに加わる帯域幅負荷は、インタネットのスケールに近い大規模なインプリメンテーションの場合にインタネットの能力を超える可能性がある。言い換えれば、ブティック・システムのスケーリング可能性は限られている。
追加的なメッセージ負荷なしにIPアジリティの利益をもたらすように上記の態様の特徴のうちのいくつかの兼合いを取るシステムを構成することができる。これは、TARPノードなどのノード間の通信セッションに参加しているリンク間で使用されるIPアドレスを管理する共用アルゴリズムに従ってIPアドレス・ホッピングによって行われる。(IPホッピング技法をブティック態様に適用することもできることに留意されたい。)ブティック・システムに関して論じたIPアジリティ機能は、スケーリング可能なこの方式の下で分散され、かつ上述の共用アルゴリズムによって管理されるように修正することができる。ブティック・システムの他の機能をこの新しい種類のIPアジリティrと組み合わせることができる。
この新しい態様は、通信する各ノード・ペアによって交換されるローカル・アルゴリズムおよび1組のIPアドレスによって管理されるIPアジリティをもたらすという利点を有する。このローカル管理は、直接通信するノード・ペア間で転送されるセッションまたはエンド・ポイントにかかわらず、ノード・ペア間の通信を管理できるという点でセッションに依存しない。
スケーリング可能なこの態様では、ネットワーク内の各ノードにIPアドレスのブロックが割り付けられる。(このスケーリング可能性は、将来において、インタネット・プロトコル・アドレスが128ビット・フィールドに増加し、明確にアドレス可能なノードの数が大幅に増加したときに高くなる)。したがって、各ノードは、そのノードに割り当てられたIPアドレスのいずれかを使用してネットワーク内の他のノードと通信することができる。実際には、通信する各ノード・ペアは複数の送信元IPアドレスおよび着信先IPアドレスを使用して互いに通信することができる。
任意のセッションに参加しているチェーン内の通信する各ノード・ペアは、ネットブロックと呼ばれる2つのIPアドレス・ブロックと、アルゴリズムと、次のメッセージを送信するために使用される次の送信元/着信先IPアドレス・ペアを各ネットブロックごとに選択するための無作為化シードとを記憶する。言い換えれば、このアルゴリズムは、各ネットブロックからのIPアドレス・ペア、1つの送信側IPアドレス、および1つの受信側IPアドレスの順次選択を管理する。アルゴリズムと、シードと、ネットブロック(IPアドレス・ブロック)の組合せを「ホップブロック」と呼ぶ。ルータは別々の送信ホップブロックおよび受信ホップブロックをルータのクライアントに発行する。クライアントによって送信される各発信パケットのIPヘッダの送信アドレスおよび受信アドレスには、アルゴリズムによって管理される送信IPアドレスおよび受信IPアドレスが充填される。アルゴリズムは、ペアが使用されるたびに、アルゴリズムが次に送信すべきパケット用の新しい送信ペアを作成するように、カウンタによって「クロッキング」(インデックス付け)される。
ルータの受信ホップブロックはクライアントの送信ホップブロックと同一である。ルータは、このクライアントからの次に予期されるパケット用の送信IPアドレス・受信IPアドレス・ペアが何であるかを、受信ホップブロックを使用して予想する。各パケットは順序正しく受信されないことがあるので、ルータが、次の順次パケット上にどんなIPアドレスが来るかを確実に予想することは不可能である。ルータは、この問題を考慮して、次に受信されるパケットの後に続く可能性のある送信パケット送信/受信アドレスの数を包含するある範囲の予想を生成する。したがって、所与のパケットが、その前にクライアントによって送信された5つのパケットよりも前にルータに到着する可能性が非常に低い場合、ルータは、次に受信されるパケットと比較すべき一連の6つの送信/受信IPアドレス・ペア(または「ホップウインドウ」)を生成することができる。パケットが受信されると、このパケットは、受信されたものとしてホップウインドウ内にマーク付けされ、したがって、同じIPアドレス・ペアを有する第2のパケットは破棄される。シーケンスからずれたパケットが所定のタイムアウト期間内に到着しない場合、その通信セッションに使用されているプロトコルに応じ、あるいは場合によっては規約によって、そのパケットを再送信することを要求するか、あるいは単に受信テーブルから破棄することができる。
ルータは、クライアントのパケットを受信すると、パケットの送信IPアドレスおよび受信IPアドレスを、予想される次のN個の送信IPアドレス受信アドレス・ペアと比較し、パケットがこの集合のメンバーではない場合、パケットを拒絶する。ウインドウに収まった予想される送信元/着信先IPアドレスを有さない受信パケットは拒絶され、したがって、可能なハッカーは妨害される。(可能な組合せの数を用いた場合、かなり大きなウインドウであっても無作為にこの中に収めることは困難である。)パケットがこの集合のメンバーである場合、ルータはパケットを受け入れ、さらに処理する。リンク・ベースのこのIPホッピング方式は、「IHOP」と呼ばれ、独立しており、必ずしも上述のブティック・システムの要素を伴わないネットワーク要素である。ブティック態様に関して説明したルーティングアジリティ機能をこのリンク・ベースIPホッピング方式と組み合わせた場合、ルータの次のステップは、TARPヘッダを復号して、パケットの着信先TARPルータを判定し、かつパケットの次のホップを何にすべきかを判定することである。TARPルータは次いで、無作為のTARPルータにパケットを転送するか、あるいは送信先ルータがリンク・ベースのIPホッピング通信を確立させる着信先TARPルータにパケットを転送する。
図8は、クライアント・コンピュータ801およびTARPルータ811が安全なセッションを確立するにはどうすべきかを示している。クライアント801は、TARPルータ811とのHOPセッションを確立する際、TARPルータ811に「安全同期」要求(「SSYN」)パケット821を送信する。このSYNパケット821は、クライアント811の認証トークンを含み、暗号化フォーマットでルータ811に送信することができる。パケット821上の送信先IP番号および着信先IP番号は、クライアント801の現在の固定IPアドレスおよびルータ811の「既知の」固定IPアドレスである。(セキュリティのために、着信先がルータの既知の固定IPアドレスである、ローカル・ネットワークの外部からのあらゆるパケットを拒絶することが望ましい。)ルータ811は、クライアント801のSSYNパケット821を受信し、妥当性を確認した後、暗号化された「安全同期確認応答」(「SSYN ACK」)822をクライアント801に送信することによって応答する。このSSYN ACK822は、クライアント801がTARPルータ811と通信するときに使用する送信ホップブロックおよび受信ホップブロックを含む。クライアント801は、その固定IPアドレスからTARPルータ811の既知の固定IPアドレスに送信される暗号化されたSSYN ACK ACKパケット823を生成することによって、TARPルータ811の応答パケット822で確認応答する。クライアント801は、SSYN ACK ACKパケットを同時に生成する。このSSYN ACKパケットは、安全セッション初期設定(SSI)パケット824と呼ばれ、TARPルータ811によってSSYN ACKパケット822内に与えられる送信ホップブロックに指定される、クライアントの送信テーブル921(図9)内の第1の{送信側、受信側}IPペアと共に送信される。TARPルータ811は、TARPルータの送信テーブル923内の第1の{送信側、受信側}IPペアと共に送信されるSSI ACKパケット825を用いてSSIパケット824に応答する。これらのパケットが首尾良く交換された後、安全な通信セッションが確立され、クライアント801とTARPルータ811との間の他のすべての安全な通信は、同期が維持されるかぎり、この安全なセッションを介して行われる。同期が失われた場合、クライアント801およびTARPルータ802は、図8に概略的に示し上記で説明した手順によって安全なセッションを再確立することができる。
安全なセッションがアクティブであるとき、クライアント901とTARPルータ911(図9)は共に、セッション同期822中にTARPルータから与えられるそれぞれの送信テーブル921、923および受信テーブル922、924を維持する。クライアントの送信テーブル921内のIPペアのシーケンスがTARPルータの受信テーブル924内のIPペアのシーケンスと同一であることが重要である。同様に、クライアントの受信テーブル922内のIPペアのシーケンスはルータの送信テーブル923内のIPペアのシーケンスと同一でなければならない。このことはセッション同期を維持するうえで必要である。クライアント701は、安全なセッションの間1つの送信テーブル921および1つの受信テーブル922のみを維持する必要がある。クライアント901によって送信される各順次パケットは、TCPセッションであるか、それともUDPセッションであるかにかかわらず、送信テーブル内の次の{送信側、受信側}IPアドレス・ペアを使用する。TARPルータ911は、クライアント911から到着する各パケットが受信テーブル内に示された次のIPアドレスを保持していることを予期する。
しかし、パケットは順序正しく到着しないことがあるので、ルータは受信テーブル内に「ルックアヘッド」バッファを維持することができ、すでに受信されているIPペアを未来のパケットに対して無効なIPペアとしてマーク付けする。IPルック・アヘッド・バッファ内に存在するが、受信済みIPペアとしてマーク付けされているIPペアを含む未来のパケットは破棄される。TARPルータ911からクライアント901への通信も同様に維持される。特に、ルータ911は、クライアント901に送信すべきパケットを構成する際にルータ911の送信テーブル923から次のIPアドレス・ペアを選択し、クライアント901は、それが受信するパケット上の予期されるIPペアのルックアヘッド・バッファを維持する。各TARPルータは、そのTARPルータとの安全なセッションを行っているか、あるいはそのTARPルータを通して安全なセッションを行っている各クライアントごとに別々の送信テーブル・受信テーブル・ペアを維持する。
クライアントは、それをインタネットにリンクするクライアントのホップブロックを第1のサーバから受信し、それに対して、ルータはホップブロックを交換する。ルータが他のルータとのリンク・ベースのIPホッピング通信方式を確立すると、ペア交換の各ルータはその送信ホップブロックを交換する。各ルータの送信ホップブロックは他方のルータの受信ホップブロックになる。ルータ間の通信は、クライアントが第1のルータにパケットを送信する例で説明したように管理される。
上記の方式はIP環境でうまく作用するが、インタネットに接続される多くのローカル・ネットワークはイーサネット(登録商標)・システムである。イーサネット(登録商標)では、既知のプロセス(「アドレス分解プロトコル」および「逆アドレス分解プロトコル」)を使用して着信先装置のIPアドレスをハードウェア・アドレスに変換しなければならず、その逆もまた同様である。しかし、リンク・ベースのIPホッピング方式を使用する場合、相関プロセスが厄介なものになる。リンク・ベースのIPホッピング方式の代替態様はイーサネット(登録商標)・ネットワーク内で使用することができる。この解決策では、インタネットをイーサネット(登録商標)にリンクするノード(ボーダー・ノードと呼ぶ)が、リンク・ベースのIPホッピング通信方式を使用してイーサネット(登録商標)LANの外部のノードと通信できるようにする。イーサネット(登録商標)LAN内で、各TARPノードは、従来どおりにアドレス指定される単一のIPアドレスを有する。LAN内TARPノードは、{送信側、受信側}IPアドレス・ペアを比較してパケットを認証するのではなく、1つのIPヘッダ拡張フィールドを使用してパケットを認証する。したがって、ボーダー・ノードは、LAN内TARPノードによって共用されるアルゴリズムを使用して、IPヘッダ内の空きフィールドに格納される記号を生成し、LAN内TARPノードは、この特定の送信元IPアドレスから次に受信されることが予期されるパケットについてのノード自体の予想に基づいてある範囲の記号を生成する。パケットは、予想される記号(たとえば、数値)の集合内に収まらない場合には拒絶され、収まった場合には受け入れられる。LAN内TARPノードからボーダー・ノードへの通信も同様に行われる。ただし、セキュリティ上の理由で、アルゴリズムは必然的に異なる。したがって、各通信ノードは、図9と同様に送信テーブルおよび受信テーブルを生成する。すなわち、LAN内 TARPノードの送信テーブルはボーダー・ノードの受信テーブルと同一であり、LAN内 TARPノードの受信テーブルはボーダー・ノードの送信テーブルと同一である。
IPアドレス・ホッピングに使用されるアルゴリズムは任意の所望のアルゴリズムでよい。たとえば、アルゴリズムは、所与のシードを有する許可されたIPアドレスをカバーする範囲の番号を生成する擬似乱数生成プログラムでよい。あるいは、セッション参加者が、ある種のアルゴリズムを仮定し、単にそのアルゴリズムを適用するためのパラメータを指定することができる。たとえば、仮定されるアルゴリズムは特定の擬似乱数生成プログラムでよく、セッション参加者は単にシード値を交換することができる。
発信元端末ノードと着信先端末ノードとの間に永久的な物理的な違いはないことに留意されたい。いずれのエンド・ポイントのいずれの装置もペアの同期を開始することができる。別々のメッセージ交換が必要にならないように認証/同期要求(および確認応答)およびホップブロック交換がすべて単一のメッセージによって実行できることにも留意されたい。
前述のアーキテクチャの他の拡張態様として、リンク冗長性を実現し、さらに、サービスを拒否する試みおよびトラフィック監視を妨げるために、クライアントによって複数の物理パスを使用することができる。図10に示すように、たとえば、クライアント1001は、それぞれの異なるISP1011、1012、1013から与えられる3つのTARPルータのそれぞれとの3つの同時セッションを確立することができる。一例として、クライアント1001は3つの異なる電話回線1021、1022、1023や2つの電話回線およびケーブル・モデムなどを使用してISPに接続することができる。この方式では、送信されるパケットが様々な物理パスの間で無作為に送信される。このアーキテクチャは高度の通信冗長性を実現し、サービス拒否アタックおよびトラフィック監視に対する保護を向上させる。
他の拡張態様
以下に、上述の技法、システム、および方法の様々な拡張態様について説明する。上述のように、コンピュータ・ネットワーク(インタネット、イーサネット(登録商標)など)内のコンピュータ間で行われる通信のセキュリティは、ネットワークを介して送信されるデータ・パケットの、見掛け上無作為の送信元インタネット・プロトコル(IP)アドレスおよび着信先IPアドレスを使用することによって向上させることができる。この機能は、盗聴者が、ネットワーク内のどのコンピュータが通信しているかを判定するのを妨げ、同時に、通信している2つのコンピュータが、受信された所与のデータ・パケットが正当なパケットであるか否かを容易に認識できるようにする。上述のシステムの一態様では、IPヘッダ拡張フィールドを使用してイーサネット(登録商標)上の着信パケットが認証される。
本明細書で説明する前述の技法の様々な拡張態様には、(1)ホップされるハードウェアまたは「MAC」アドレスをブロードキャスト型ネットワークで使用すること、(2)コンピュータが送信側との同期を自動的に回復できるようにする自己同期技法、(3)送信側コンピュータおよび受信側コンピュータがパケット喪失イベントまたはその他のイベントの場合に同期を迅速に再確立できるようにする同期アルゴリズム、および(4)無効なパケットを拒絶する高速パケット拒絶機構が含まれる。これらの拡張態様のいずれかまたはすべてを様々な方法のいずれかで上述の機能と組み合わせることができる。
A.ハードウェア・アドレス・ホッピング
LAN上のインタネット・プロトコル・ベース通信技法または任意の専用物理媒体を介したインタネット・プロトコル・ベース通信技法では通常、「フレーム」と呼ばれることの多い下位パケット内にIPパケットが埋め込まれる。図11に示すように、たとえば、第1のイーサネット(登録商標)・フレーム1150はフレーム・ヘッダ1101および埋め込まれた2つのIPパケットIP1およびIP2を備え、それに対して、第2のイーサネット(登録商標)・フレーム1160は異なるフレーム・ヘッダ1104および単一のIPパケットIP3を備えている。各フレーム・ヘッダは一般に、送信元ハードウェア・アドレス1101Aおよび着信先ハードウェア・アドレス1101Bを含む。図11では、図を明確にするためにフレーム・ヘッダ内の他の公知のフィールドは省略されている。物理通信チャネルを介して通信する2つのハードウェア・ノードは、チャネルまたはネットワーク上のどのノードがフレームを受信すべきかを示す適切な送信元ハードウェア・アドレスおよび着信先ハードウェア・アドレスを挿入する。
悪意ある盗聴者が、IPパケット自体ではなく(あるいはそれに加えて)ローカル・ネットワーク上のフレームを調べることによって、フレームの内容および/またはそのフレームの通信者に関する情報を得ることが可能である。このことは、フレームを生成したマシンのハードウェア・アドレスおよびフレームが送信されるマシンのハードウェア・アドレスをフレーム・ヘッダに挿入する必要がある、イーサネット(登録商標)などのブロードキャスト媒体に特に当てはまる。ネットワーク上のすべてのノードは場合によっては、ネットワークを介して送信されるすべてのパケットを見ることができる。これは、特に、情報交換を行っているのは誰かを第三者が識別できることを通信者が望んでいない場合に、安全な通信に対する問題となる恐れがある。この問題に対処する1つの方法は、アドレス・ホッピング方式をハードウェア層に拡張することである。本発明の様々な態様によれば、ハードウェア・アドレスは、IPアドレスを変更するために使用される方法と同様な方法で「ホップされ」、したがって、盗聴者は、特定のメッセージを生成したのはどのハードウェア・ノードであるかを判定することも、あるいは所期されている受信側はどのノードであるかを判定することもできない。
図12Aは、イーサネット(登録商標)などのネットワーク上のセキュリティを向上させるために媒体アクセス制御(「MAC」)ハードウェア・アドレスが「ホップされる」システムを示している。この説明ではイーサネット(登録商標)環境の例示的なケースを引用するが、本発明の原則は他の種類の通信媒体にも同様に適用することができる。イーサネット(登録商標)の場合、送信側および受信側のMACアドレスは、イーサネット(登録商標)・フレームに挿入され、そのフレームのブロードキャスト範囲内にいるLAN上のあらゆる人によって見ることができる。安全な通信を実現する場合、特定の送信側や受信側に帰属しないMACアドレスを持つフレームを生成することが望ましくなる。
図12Aに示すように、コンピュータ・ノード1201および1202はイサーネットなどの通信チャネルを介して通信する。各ノードは、それぞれ通信ソフトウェア1204および1217によりパケットを送信することによって通信する1つまたは複数のアプリケーション・プログラム1203および1218を実行する。アプリケーション・プログラムの例にはビデオ会議、eメール、文書処理プログラムなどが含まれる。通信ソフトウェア1204および1217は、たとえば、様々な機能レベルで実現される様々なサービスを標準化するOSI層化アーキテクチャまたは「スタック」を備えることができる。
通信ソフトウェア1204および1217の最下位レベルはそれぞれ、ハードウェア構成要素1206および1214と通信し、各構成要素は、様々な通信プロトコルに従ってハードウェアを再構成または制御できるようにする1つまたは複数のレジスタ1207および1215を含むことができる。ハードウェア構成要素(たとえば、イーサネット(登録商標)・ネットワーク・インタフェース・カード)は通信媒体を介して互いに通信する。各ハードウェア構成要素には通常、そのハードウェア構成要素をネットワーク上の他のノードへに対して識別する固定ハードウェア・アドレスまたはMAC番号が事前に割り当てられる。以下に詳しく説明するように、本発明の原則の様々な態様は、1つまたは複数のアルゴリズムと、受信されたパケットの妥当性を確認するためにある範囲の妥当なアドレスを追跡する1つまたは複数の移動ウインドウを使用して、様々なアドレスの「ホッピング」を可能にする。本発明の1つまたは複数の原則に従って送信されるパケットは一般に、マシンによって相関付けされた通常のアドレスを使用して平文で送信される通常のデータ・パケットと区別するために「安全な」パケットまたは「安全な通信」と呼ばれる。
帰属不能なMACアドレスを生成する1つの簡単な方法はIPホッピング方式の拡張態様である。この場合、同じLAN上の2つのマシンは、安全に通信して乱数発生プログラムおよびシードを交換し、同期式ホッピングのための準無作為MACアドレスのシーケンスを作成する。この場合、インプリメンテーションおよび同期の問題はIPホッピングの同じ問題と類似している。
しかし、この手法では、LAN上で現在アクティブなMACアドレスが使用される恐れがあり、それによって、これらのマシンの通信が中断される可能性がある。イーサネット(登録商標)MACアドレスが現在の所、長さが48ビットであるので、アクティブなMACアドレスが無作為に乱用される可能性は実際には極めて低い。しかし、この数字に(広範囲のLANで見られるような)多数のノードの数、(パケット音声またはストリーミング・ビデオの場合のような)多数のフレームの数、および多数の並行仮想専用網(VPN)の数を乗じた場合、アドレス・ホッピングされるフレームで安全でないマシンのMACアドレスが使用される可能性は無視できないものになる。簡単に言えば、LAN上の他のマシンの通信を中断する可能性が少しでもあるあらゆる方式は、先見の明のあるシステム管理者から反対を受ける。それにもかかわらず、これは技術的に実施可能であり、マシンの数が少ないLAN上で安全に実施することができ、あるいはLAN上のすべてのマシンがMACホップ通信を行う場合に安全に実施することができる。
同期式MACアドレス・ホッピングは、セッションを確立する際、特に通信に関与する複数のセッションまたは複数のノードがある場合、ある程度のオーバヘッドを伴うことがある。MACアドレスを無作為化するより簡単な方法は、各ノードがネットワーク上で発生したあらゆるフレームを受信し処理できるようにすることである。通常、各ネットワーク・インタフェース・ドライバは、発生したあらゆるフレームのヘッダ内の着信先MACアドレスを検査し、そのマシンのMACアドレスに一致するかどうかを調べる。一致しない場合、このフレームは破棄される。しかし、一態様では、これらの検査を無効化することができ、発生したあらゆるパケットがTARPスタックに渡され処理される。これは、発生したあらゆるフレームが処理されるので「プロミスキュアス」モードと呼ばれる。プロミスキュアス・モードでは、着信先マシンがフレームを確実に処理できるので、送信側は、同期の取れていない完全に無作為のMACアドレスを使用することができる。パケットの着信先が本当にそのマシンであるかどうかに関する決定はTARPスタックによって処理され、TARPスタックは、送信元IPアドレスと着信先IPアドレスがTARPスタックのIP同期テーブルにおいて一致しているかどうかを検査する。一致が見つからない場合、このパケットは破棄される。一致した場合、パケットが開放され、インナヘッダが評価される。パケットの着信先がこのマシンであることをインナヘッダが示している場合、パケットがIPスタックに転送され、そうでない場合、パケットは破棄される。
純粋に無作為のMACアドレス・ホッピングの1つの欠点は、処理オーバヘッドに対するこのホッピングの影響である。すなわち、発生したあらゆるフレームを処理しなければならないので、ネットワーク・インタフェース・ドライバがパケットを一方的に区別し拒絶する場合よりもかなり頻繁にマシンのCPUが使用される。妥協的な手法として、メッセージの着信先である実際の受信側にかかわらず、MACホップ通信に使用すべきアドレスとして単一の固定MACアドレスまたは少数のMACアドレス(たとえば、イーサネット(登録商標)上の各仮想専用網ごとに1つのMACアドレス)を選択する手法がある。このモードでは、ネットワーク・インタフェースが、発生した各フレームを事前に確立された1つ(または少数)のMACアドレスと突き合わせて検査することができ、それによって、CPUは物理層パケットの区別を行わなく済む。この方式では、LAN上の侵入者に重要な情報が漏れることがない。特に、アウタヘッダ内の固有のパケット・タイプによってあらゆる安全なパケットを事前に識別しておくことができる。しかし、安全な通信を行うすべてのマシンが同じMACアドレスを使用するか、あるいは所定のMACアドレスの小さな集合から選択するので、特定のマシンと特定のMACアドレスとの間の関連付けが実際上、失われる。
この方式では、ネットワーク・インタフェース・ドライバが、このマシンを着信先とする安全なパケットと他のVPNからの安全なパケットを常に一方的に区別することはできないので、CPUは、安全でない通信(または同期式MACアドレスホッピング)の場合よりも頻繁に使用される。しかし、ネットワーク・インタフェースにおいて安全でないトラフィックをなくすのは容易であり、したがって、CPUに必要な処理の量が少なくなる。これらが当てはまらない境界条件があり、たとえば、LAN上のすべてのトラフィックが安全なトラフィックである場合、CPUは純粋に無作為のアドレス・ホッピングの場合と同じ程度に使用される。あるいは、LAN上の各VPNが異なるMACアドレスを使用する場合、ネットワーク・インタフェースは、ローカル・マシンを着信先とする安全なフレームを、他のVPNを構成する安全なフレームと完全に区別することができる。これらは技術上の兼ね合せであり、ユーザがソフトウェアをインストールし、かつ/またはVPNを確立する際に管理オプションを与えることによって最もうまく処理することができる。
しかし、この場合でも、LAN上の1つまたは複数のノードによって使用されるMACアドレスが選択されるわずかな可能性が依然として残る。この問題に対する1つの解決策として、MACホップ通信で使用される1つのアドレスまたはある範囲のアドレスが公式に割り当てられる。これは通常、割当て番号登録権限を介して行われ、たとえば、イーサネット(登録商標)の場合、電気電子技術者協会(IEEE)によってベンダにMACアドレス範囲が割り当てられている。公式に割り当てられるアドレス範囲によって、安全なフレームはLAN上の適切に構成され適切に機能するマシンに確実に適合する。
次に、本発明の原則に従った多数の組合せおよび特徴について説明するために図12Aおよび図12Bを参照する。上述のように、2つのコンピュータ・ノード1201および1202がイーサネット(登録商標)などのネットワークまたは通信媒体を介して通信しているものと仮定する。各ノードの通信プロトコル(それぞれ、1204および1217)は、標準通信プロトコルから導かれるある機能を実行する修正された要素1205および1216を含む。特に、コンピュータ・ノード1201は、各パケットを他方のコンピュータ・ノードに送信するために見掛け上無作為の送信元IPアドレスおよび着信先IPアドレス(および一態様では、見掛け上無作為のIPヘッダ・ディスクリミネータ・フィールド)を選択する第1の「ホップ」アルゴリズム1208Xを実施する。たとえば、ノード1201は、送信先(S)、着信先(D),および発信IPパケット・ヘッダに挿入されるディスクリミネータ・フィールド(DS)の3つ組を含む送信テーブル1208を維持する。このテーブルは、受信側ノード1202に知られている適切なアルゴリズム(たとえば、適切なシードを用いてシードされる乱数生成プログラム)を使用することによって生成される。新しい各IPパケットが形成される際、送信側の送信テーブル1208の順次エントリを使用してIP送信元、IP着信先、およびIPヘッダ拡張フィールド(たとえば、ディスクリミネータ・フィールド)が埋められる。送信テーブルを事前に作成しておく必要がなく、その代わり、動作時に、各パケットを形成する際にアルゴリズムを実行することによって作成できることが理解されよう。
受信側ノード1202では、同じIPホップ・アルゴリズム1222Xが維持され、送信元IPアドレス、着信先IPアドレス、およびディスクリミネータ・フィールドの妥当な3つ組をリストした受信テーブル1222を、上記のアルゴリズムを使用して生成するために使用される。これは、送信テーブル1208の第1の5つのエントリが、受信テーブル1222の第2の5つのエントリに一致することによって示されている。(各テーブルは、パケットの喪失、パケットの順序のずれ、または送信遅延のために任意の特定の時間にわずかにずれる可能性がある)。また、ノード1202は、着信IPパケットの一部として受信されたときに受け入れられる妥当なIP送信元、IP着信先、およびディスクリミネータ・フィールドのリストを表す受信ウインドウW3を維持する。パケットが受信されると、ウインドウW3は妥当なエントリのリストを下にスライドさせ、したがって、可能な妥当なエントリは時間の経過と共に変化する。誤った順序で到着したが、それにもかかわらずウインドウW3内のエントリと一致している2つのパケットは受け入れられる。ウインドウW3に収まらないパケットは無効なパケットとして拒絶される。ウインドウW3の長さは、ネットワーク遅延またはその他の因子を反映する必要に応じて調整することができる。
ノード1202は、場合によっては異なるホッピング・アルゴリズム1221Xを使用して着信先がノード1201であるIPパケットおよびフレームを作成するために同様な送信テーブル1221を維持し、ノード1201は、同じアルゴリズム1209Xを使用して一致する受信テーブル1209を維持する。ノード1202が見掛け上無作為のIP送信先、IP着信先、および/またはディスクリミネータ・フィールドを使用してノード1201にパケットを送信すると、ノード1201は着信パケット値を、ノード1201の受信テーブルに維持されているウインドウW1内に収まる値と突き合わせる。実際には、ノード1201の送信テーブル1208と受信側ノード1202の受信テーブル1222との同期が取られる(すなわち、同じ順序でエントリが選択される)。同様に、ノード1202の送信テーブル1221とノード1201の受信テーブル1209との同期が取られる。図12Aでは送信元、着信先、およびディスクリミネータ・フィールドについて共通のアルゴリズムが示されている(たとえば、3つのフィールドのそれぞれに異なるシードを使用する)が、実際には、まったく異なるアルゴリズムを使用してこれらのフィールドのそれぞれの値を確立できることが理解されよう。図のように3つのフィールドすべてではなく1つまたは2つのフィールドを「ホップ」できることも理解されよう。
本発明の他の態様によれば、ローカル・エリア・ネットワークまたはブロードキャスト型ネットワーク内のセキュリティを向上させるために、IPアドレスおよび/またはディスクリミネータ・フィールドの代わりにあるいはそれらと共にハードウェア・アドレスまたは「MAC」アドレスがホップされる。この目的のために、ノード1201は、ノード1202にある対応する受信テーブル1224との同期が取られるフレーム・ヘッダ(たとえば、図11のフィールド1101Aおよび1101B)に挿入される送信元ハードウェア・アドレスおよび着信先ハードウェア・アドレスを、送信アルゴリズム1210Xを使用して生成する、送信テーブル1210をさらに維持する。同様に、ノード1202は、ノード1201にある対応する受信テーブル1211との同期が取られる送信元ハードウェア・アドレスおよび着信先ハードウェア・アドレスを含む異なる送信テーブル1223を維持する。このように、発信ハードウェア・フレームは、各受信側が、所与のパケットの着信先が該受信側であるかどうかを判定できるにもかかわらず、ネットワーク上の完全に無作為のノードから発信され、かつこのようなノードに送信されるように見える。ハードウェア・ホッピング機能をIPホッピング機能とは異なる通信プロトコル・レベルで(たとえば、性能を向上させるためにカード・ドライバまたはハードウェア・カード自体で)実施できることが理解されよう。
図12Bは、前述の原則を用いて使用することのできる3つの異なる態様またはモードを示している。「プロミスキュアス」モードと呼ばれる第1のモードでは、ネットワーク上のすべてのノードによって共通のハードウェア・アドレス(たとえば、送信元用の固定アドレスおよび着信先用の別の固定アドレス)または完全に無作為のハードウェア・アドレスが使用され、したがって、特定のパケットを1つのノードに帰属させることはできなくなる。各ノードは最初、共通(または無作為)のハードウェア・アドレスを含むすべてのパケットを受け入れ、IPアドレスまたはディスクリミネータ・フィールドを調べて、パケットの着信先がそのノードであるかどうかを判定しなければならない。なお、IPアドレスまたはディスクリミネータ・フィールド、あるいはその両方を上述のアルゴリズムに従って変更することができる。前述のように、この場合、所与のパケットが妥当な送信元ハードウェア・アドレスおよび着信先ハードウェア・アドレスを有するかどうかを判定する追加の処理が必要になるので、各ノードのオーバヘッドが増大する可能性がある。
「VPN当たりプロミスキュアス」モードと呼ばれる第2のモードでは、少数の1組の固定ハードウェア・アドレスが使用され、仮想専用網上で通信するすべてのノードに固定送信元/着信先ハードウェア・アドレスが使用される。たとえば、イーサネット(登録商標)上に6つのノードがあり、1つのVPN上の各ノードがそのVPN上の他の2つのノードのみと通信できるようにネットワークが2つの専用仮想網に分割される場合、第1のVPN用の1組と第2のVPN用の第2の組の、2組のハードウェア・アドレスを使用することができる。これにより、指定されたVPNから到着するパケットのみを検査すればよいので、妥当なフレームについての検査に必要なオーバヘッドの量が少なくなる。この場合も、VPN内で安全な通信を行えるように、前述のようにIPアドレスおよび1つまたは複数のディスクリミネータ・フィールドをホップすることができる。もちろん、この解決策では、VPNの匿名性は無効になる(すなわち、トラフィックがどのVPNに属するものであるかを部外者が容易に知ることができる。ただし、部外者がそれを特定のマシン/人と相関付けることはできない)。また、ディスクリミネータ・フィールドを使用してある種のDoSアタックを受ける可能性を低減させる必要もある。(たとえば、ディスクリミネータ・フィールドがない場合、LAN上のアタッカーが、VPNによって使用されているMACアドレスを含むフレームのストリームを作成することが可能になる。このようなフレームを拒絶するには過度の処理オーバヘッドが必要になる恐れがあるディスクリミネータ・フィールドは、擬パケットを拒絶する低オーバヘッド手段を実現する。)
「ハードウェア・ホッピング」モードと呼ばれる第3のモードでは、図12Aに示すようにハードウェア・アドレスが変更され、それによって、ハードウェア送信元アドレスおよびハードウェア着信先アドレスが常に変更され、アドレスは帰属不能になる。もちろん、これらの態様の変形態様が可能であり、本発明は、いかなる点においてもこれらの例によって制限されることはない。
B.アドレス空間の拡張
アドレス・ホッピングによってセキュリティおよびプライバシーが確保される。しかし、保護のレベルは、ホップされるブロック内のアドレスの数によって制限される。ホップブロックは、VPNを実現するためにパケットごとに調整されるフィールドを示す。たとえば、各ブロックが4つのアドレス(2ビット)から成るホップブロックを使用するIPアドレス・ホッピングを用いて2つのノードが通信する場合、16個の可能なアドレス・ペア組合せがある。サイズ16のウインドウの場合、大部分の時間において大部分のアドレス・ペアが妥当なペアとして受け入れられる。この制限は、ホップ・アドレス・フィールドに加えてあるいはその代わりにディスクリミネータ・フィールドを使用することによって解消することができる。ディスクリミネータ・フィールドは、アドレス・フィールドとまったく同じようにホップされ、パケットを受信側によって処理すべきかどうかを判定するために使用される。
それぞれが4ビット・ホップブロックを使用する2つのクライアントが、2つのAブロック間のIPホッピングを介して通信するクライアントに与えられるのと同じ保護レベルを望んでいるものと仮定する(ホッピングに有効な24ビット)。20ビットのディスクリミネータ・フィールドを、IPアドレス・フィールドにおけるホッピングに有効な4アドレス・ビットと共に使用すると、この保護レベルが達成される。24ビット・ディスクリミネータ・フィールドは、アドレス・フィールドがホップされず、また無視されない場合に同様な保護レベルを達成する。ディスクリミネータ・フィールドを使用すると、(1)任意に高い保護レベルを達成することができ、(2)アドレス・ホッピングなしで保護が実現されるという2つの利点が与えられる。これは、アドレス・ホッピングによってルーティングの問題が起こる環境で重要である。
C.同期技法
送信側ノードと受信側ノードがアルゴリズムおよびシード(または準無作為送信元テーブルおよび準無作為着信先テーブルを生成するのに十分な同様な情報)を交換した後、2つのノード間のその後の通信は円滑に進行するものと一般に仮定される。しかし、現実的には、2つのノードは、ネットワークの遅延または障害、あるいはその他の問題のために同期を失う可能性がある。したがって、ネットワーク内の、同期を失ったノード間に同期を再確立する手段を提供することが望ましい。
ある可能な技法では、各ノードに、各パケットが首尾良く受信されたときに確認応答を供給させ、ある期間内に確認応答が受信されなかった場合に、非確認応答パケットを再送する。しかし、この手法は、オーバヘッド・コストを増大させ、たとえば、ストリーミング・ビデオやストリーミング・オーディオなどの高スループット環境では使用不能になる恐れがある。
別の手法では、本明細書で「自己同期」と呼ぶ自動同期技法が使用される。この手法では、各パケットに同期情報が埋め込まれ、それによって、受信側は、送信側との同期を失ったと判定した場合、単一のパケットが受信されたときにそれ自体の同期を取り戻すことができる。(すでに通信が進行中であり、受信側が、まだ送信側と同期していると判定した場合、再同期の必要はない。)受信側は、たとえば、ある期間が経過した時点で満了し、それぞれの妥当なパケットによってリセットされる「デッド・マン」タイマを使用することによって、同期していないことを検出することができる。パケット再試行アタックを防止するために、ハッシングによってパブリック同期フィールド(以下参照)にタイム・スタンプを付加することができる。
一態様では、送信側によって送信される各パケットのヘッダに「同期フィールド」が付加される。この同期フィールドは、平文であっても、あるいはパケットの暗号化された部分の一部であってもよい。送信側および受信側が乱数生成プログラム(RNG)およびシード値を選択しているものと仮定すると、RNGとシードのこの組合せを使用して乱数配列(RNS)を生成することができる。次いで、RNSを使用して、上述のように送信元/着信先IPペア(および必要に応じて、ディスクリミネータ・フィールドならびにハードウェア送信元アドレスおよびハードウェア着信先アドレス)が生成される。しかし、シーケンス全体(または最初のN-1個の値)を生成しなくてもシーケンス内のN番目の乱数を生成することができる。シーケンス・インデックスNが既知である場合、このインデックスに対応する無作為の値を直接生成することができる(以下参照)。それぞれの異なる基本周期を有する様々なRNG(およびシード)を使用して送信元IPシーケンスおよび着信先IPシーケンスを生成することができるが、この場合も基本的な概念が適用される。話を簡単にするために、以下の議論では、単一のRNGシーケンシング機構を使用してIP送信元・着信先アドレス・ペア(のみ)がホップされるものと仮定する。
各パケット・ヘッダ内の同期フィールドは、「自己同期」機能により、IPペアを生成するために使用されているRNSにインデックス(すなわち、シーケンス番号)付けする。RNSを生成するために使用されているRNGにこのようにインデックス付けすると特定の乱数値が生成され、それによって特定のIPペアが生成される。すなわち、RNG、シード、およびインデックス番号から直接IPペアを生成することができ、この方式では、与えられたインデックス番号に関連付けされたシーケンス値に先行する乱数のシーケンス全体を生成することは不要である。
通信者がすでにRNGおよびシードを交換しているものと仮定されているので、IPペアを生成するために与えなければならない新しい情報はシーケンス番号だけである。この番号が送信側によってパケットヘッダ内に与えられる場合、受信側は、この番号をRNGに入力するだけでIPペアを生成することができ、したがって、パケットのヘッダに示されたIPペアが妥当であることを検証することができる。この方式では、送信側と受信側が同期を失った場合、受信側は、パケット・ヘッダ内のIPペアを、インデックス番号から生成されるIPペアと比較することにより、単一のパケットを受信した時点でただちに同期を取り戻すことができる。したがって、単一のパケットを受信したときに、同期の取れた通信を再開することができ、この方式はマルチキャスト通信にとって理想的な方式になる。極端な場合には、同期テーブルが完全に不要になる。すなわち、送信側と受信側は、同期フィールド内のインデックス番号を使用するだけで各パケット上のIPペアの妥当性を確認することができ、それによってテーブルを完全になくすことができる。
前述の方式は、それに関連する、セキュリティ上のある固有の問題を有する。すなわち、同期フィールドの配置の問題である。このフィールドをアウタ・ヘッダに配置した場合、侵入者はこのフィールドの値および該値とIPストリームとの関係を見ることができる。これにより、場合によっては、IPアドレス・シーケンスを生成するために使用されているアルゴリズムが影響を受け、したがって、通信のセキュリティが影響を受ける。しかし、この値をインナ・ヘッダに配置した場合、送信側はインナ・ヘッダを復号しないかぎり、同期値を抽出してIPペアの妥当性を確認することができなくなる。この場合、受信側は、パケット再生などある種のサービス拒否(DoS)アタックにさらされる。すなわち、受信側がパケットを復号しないかぎりIPペアの妥当性を確認することができない場合、アタッカーが単に、前に妥当であったパケットを再送する場合には、復号に関して著しい量の処理を実行しなければならなくなる恐れがある。
アルゴリズムのセキュリティと処理速度との可能な兼ね合せとして、インナ・ヘッダ(暗号化済み)とアウタ・ヘッダ(未暗号化)との間で同期値が分割される。すなわち、同期値が十分に長い場合、は、平文で表示することのできる急速に変化する部分と、保護されなければならない固定(または非常にゆっくりと変化する)部分とに分割することができる。平文で表示することのできる部分を「パブリック同期」部と呼び、保護されなければならない部分を「プライベート同期」部と呼ぶ。
完全な同期値を生成するにはパブリック同期部とプライベート同期部の両方が必要である。しかし、プライベート部は、固定されるか、あるいはときどきにのみ変化するように選択することができる。したがって、プライベート同期値を受信側によって記憶することができ、したがって、ヘッダを復号しなくても検索することができるようになる。送信側と受信側が、同期のプライベート部分が変化する頻度に関してすでに合意している場合、受信側は、同期を失う原因となった通信ギャップが前のプライベート同期の有効期間を超えた場合に、選択的に単一のヘッダを復号して新しいプライベート同期を抽出することができる。この場合、復号の量が厄介な量になることはなく、したがって、受信側が、単に単一のヘッダをときどき復号する必要があることに基づいてサービス拒否アタックにさらされることはない。
この1つのインプリメンテーションでは、ハッシュ関数を1対1マッピングと共に使用して同期値からプライベート同期部およびパブリック同期部が生成される。このインプリメンテーションは図13に示されており、この場合、(たとえば)第1のISP1302が送信側であり、第2のISP1303が受信側である。(図13では他の代替態様が可能である。)送信されるパケットは、暗号化されていないパブリック・ヘッダまたは「アウタ」ヘッダ1305と、たとえばリンク鍵を使用して暗号化されたプライベート・ヘッダまたは「インナ」ヘッダ1306とを備える。アウタ・ヘッダ1305はパブリック同期部を含み、それに対して、インナ・ヘッダ1306はプライベート同期部を含む。受信側ノードは、復号関数1307を使用してインナ・ヘッダを復号し、プライベート同期部を抽出する。このステップが必要になるのは、現在バッファされているプライベート同期の有効期間が満了した場合だけである。(現在バッファされているプライベート同期がまだ有効である場合、このプライベート同期は単にメモリから抽出され、ステップ1308に示すようにパブリック同期に「付加」(逆ハッシュでよい)される。)パブリック同期部と復号されたプライベート同期部は関数1308で組み合わされ、組合せ同期1309が生成される。組合せ同期(1309)は次いで、RNG(1310)に送られ、IPアドレス・ペア(1311)と比較され、パケットの妥当性が確認されるか、あるいはパケットが拒絶される。
このアーキテクチャの重要な点は、パブリック同期値が関与する「未来」と「過去」の概念である。スプーフィング・アタックを防止するには同期値自体が無作為の値であるべきであるが、すでに送信された同期値を含むパケットが実際には受信側によって受信されていない場合でも、受信側がこの同期値を高速に識別できることが重要である。1つの解決策として、ハッシングによってタイム・スタンプまたはシーケンス番号がパブリック同期部に付加され、したがって、このパブリック同期部を高速に抽出し、検査し、破棄し、それによってパブリック同期部自体の妥当性を確認することができる。
一態様では、同期フィールドによって生成された送信元/着信先IPペアを、パケット・ヘッダに示されたペアと比較することによってパケットを検査することができる。(1)ペアが一致し、(2)タイム・スタンプが妥当であり、(3)デッドマン・タイマが満了している場合、同期が取り直される。そうでない場合、パケットは拒絶される、十分な処理能力が利用できる場合、デッドマン・タイマおよび同期テーブルを回避することができ、受信側は単にあらゆるパケットに関して同期を取り直す(たとえば、妥当性を確認する)。
前述の方式では、そのインプリメンテーションに影響を与える大整数(たとえば、160ビット)計算が必要になることがある。このような大整数レジスタがない場合、スループットに影響が及び、したがって、場合によってはサービス拒否の点でセキュリティに影響が及ぶ。それにもかかわらず、大整数計算処理機能が普及すると、このような機能を実施するコストが削減される。
D.他の同期方式
上述のように、VPN内の通信側と受信側の間で、連続するW個以上のパケットが失われた場合(Wはウインドウサイズ)、受信側のウインドウは更新されておらず、送信側は、受信側のウインドウに入っていないパケットは送信しない。送信側と受信側は、おそらくウインドウ内の無作為のペアが偶然に繰り返されるまで同期を回復しない。したがって、可能なときにはいつでも送信側と受信側を同期させ、同期が失われたときは常にそれを再確立する必要がある。
同期を失った送信側と受信側の間の同期を、「チェックポイント」方式を使用して回復することができる。この方式では、無作為のIPアドレス・ペアを備えたチェックポイント・メッセージを使用して同期情報が伝達される。一態様では、2つのメッセージを使用して送信側と受信側の間で以下の同期情報が伝達される。
1.SYNC_REQは、送信側が同期を取る必要があることを示すために送信側によって使用されるメッセージであり、
2.SYNC_ACKは、受信側の同期が取れたことを送信側に知らせるために受信側によって使用されるメッセージである。
この手法の一変形態様によれば、送信側と受信側は共に以下の3つのチェックポイントを維持する(図14参照)。
1.送信側において、ckpt_o(「チェックポイント・オールド」)は、最後のSYNC_REQパケットを受信側に再送するために使用されたIPペアである。受信側において、ckpt_o(「チェックポイント・オールド」)は、送信側から繰り返しSYNC_REQパケットを受信するIPペアである。
2.送信側において、ckpt_n(「チェックポイント・ニュー」)は、次のSYNC_REQパケットを受信側に送信するために使用されるIPペアである。受信側において、ckpt_n(「チェックポイント・ニュー」)は、新しいSYNC_REQパケットを送信側から受信し、受信側のウインドウを再整列させ、ckpt_oをckpt_nに設定させ、新しいckpt_nを生成させ、新しいckpt_rを生成させるIPペアである。
3.送信側において、ckpt_rは、次のSYNC_ACKパケットを受信側に送信するために使用されるIPペアである。受信側において、ckpt_rは、新しいSYNC_ACKパケットを送信側から受信し、新しいckpt_nを生成させるIPペアである。SYNC_ACKは受信側ISPから送信側ISPに送信されるので、送信側ckpt_rは受信側のckpt_rをを指し、受信側ckpt_rは送信側のckpt_rを指す(図14参照)。
送信側が同期を開始すると、送信側が次のデータ・パケットを送信するために用いるIPペアが所定の値に設定され、受信側がまずSYNC_REQを受信すると、受信側ウインドウが、送信側の次のIPペアが中心になるように更新される。
同期はパケット・カウンタによって開始することも(たとえば、N個のパケットが送信されるたびに同期を開始する)、あるいはタイマによって開始することも(S秒おきに同期を開始する)、あるいはそれらの組合せによって開始することもできる。図15を参照されたい。送信側から見ると、この技法は以下のように作用する。(1)各送信側は、受信側が同期していることを確認するために定期的に「同期要求」メッセージを受信側に送信する。(2)受信側は、まだ同期している場合、「同期確認」メッセージを送り返す。(これがうまくいった場合、さらなる処置は必要とされない)。(3)ある期間内に「同期確認」が受信されなかった場合、送信側は同期要求を再び送信する。送信側が「同期確認」応答を受信せずに次のチェックポイントに到達した場合、同期が失われ、送信側は送信を停止する必要がある。送信側はsync_ackを受信するまでsync_reqsを送信し続け、受信した時点で送信が再確立される。
受信側から見ると、この方式は以下のように作用する。(1)受信側は、送信側から「同期要求」要求を受信すると、ウインドウを次のチェックポイント位置へ進め(場合によっては必要に応じてペアをスキップする)、「同期応答」メッセージを送信側に送信する。同期が失われていない場合、「ジャンプ・アヘッド」によって、テーブル内の次の利用可能なアドレス・ペアに進む(すなわち、通常の前進)。
侵入者が「同期要求」メッセージを捕捉し、新しい「同期要求」メッセージを送信することによって通信の干渉を試みた場合、同期が確立されているか、あるいはこのメッセージが実際に同期を再確立する助けになる場合、このメッセージは無視される。
ウインドウは、再同期が行われたときは常に再整列させられる。この再整列に伴い、SYNC_REQパケットが送信された直後に送信されたパケットによって使用されたアドレス・ペアにまたがるように受信側のウインドウが更新される。通常、送信側と受信側は互いに同期させられる。しかし、ネットワーク・イベントが起こった場合、再同期中に受信側のウインドウを多数のステップ分進めなければならないことがある。この場合、介在する乱数間を順次進む必要なしにウインドウを進めることが望ましい。(この機能は、上述の自動同期手法にも望ましい)。
E.ジャンプアヘッド機能を有する乱数生成プログラム
無作為にホップされるアドレスを生成するための魅力的な方法は、送信側と受信側で同一の乱数生成プログラムを使用し、パケットが送信され受信されたときにこのプログラムを進める方法である。使用できる多数の乱数生成アルゴリズムがある。各アルゴリズムは、アドレス・ホッピング応用例に対する利点と欠点を有する。
線形乱数生成プログラム(LCR)は、明確な特徴を有する高速で簡単な乱数生成プログラムであり、効率的にnステップ先にジャンプさせることができる。LCRは、以下の反復を使用してシードX0から始まる乱数X1、X2、X3、・・・、XKを生成する。
Xi=(aXi-1+b)mod c (1)
上式で、a、b、およびcは特定のLCRを定義する符号である。Xiに関する別の数式、すなわち、
Xi=((ai(X0+b)-b)/(a-1))mod c (2)
によって、ジャンプアヘッド機能が有効になる。係数aiは、拘束されない場合、iが小さい場合もで非常に大きなることができる。したがって、モジュロ演算のいくつかの特殊な特性を使用して、(2)を計算するのに必要なサイズおよび処理時間を調節することができる。(2)は次式のように書くことができる。
Xi=(ai(X0(a-1)+b)-b/(a-1)mod c (3)
以下のことを示すことができる。
(ai(X0(a-1)+b)-b)/(a-1)mod c=
((aimod((a-1)c)(X0(a-1)+b)-b)/(a-1))mod c (4)
(X0(a-1)+b)を(X0(a-1)+b)mod cとして記憶し、bをb mod cとして記憶し、aimod((a-1)c)を計算することができる(これには0(log(i))回のステップが必要である)。
このアルゴリズムの実際的なインプリメンテーションは、各同期間で一定距離nだけジャンプする。これは、nパケットおきの同期に相当する。ウインドウは、前のウインドウが開始してからn IPペア後に開始する。ノードは、Xj w、すなわち、J番目のチェックポイントでの乱数をX0として使用し、nをiとして使用して、LCR当たり1度anmod((a-1)c)を記憶し、
Xj+1 w=Xn(j+1)=((anmod((a-1)c)(Xj w(a-1)+b)-b)/(a-1))mod c (5)
を、j+1番目の同期用の乱数を生成するように設定することができる。ノードは、この構成を使用して、(nとは無関係の)一定の時間内に、各同期間で任意の(しかし、一定の)距離だけ先にジャンプすることができる。
したがって、一般に擬似乱数生成プログラム、特にLCRはそのサイクルを繰り返す。この繰返しは、IPホッピング方式の弱点となる可能性がある。すなわち、繰侵入者は、繰返しを待つだけで未来のシーケンスを予想することができる。この弱点に対処する1つの方法は、既知の長いサイクルを有する乱数生成プログラムを作成することである。無作為のシーケンスが繰り返される前に、このシーケンスを新しい乱数生成プログラムで置き換えることができる。既知の長いサイクルを有するLCRを構成することができる。このことは、現在の所、多くの乱数生成プログラムには当てはまらない。
乱数生成プログラムは、暗号に関して安全でない点がある。侵入者は、出力またはその一部を調べることによってRNGパラメータを導くことができる。このことはLCGに当てはまる。この弱点は、出力を乱数生成プログラムの一部とするように構成された暗号化プログラムを組み込むことによって軽減することができる。乱数生成プログラムは、侵入者が暗号プログラムにアタック、たとえば既知の平文アタックを開始するのを防止する。
F.乱数生成プログラムの例
a=31、b=4、およびc=15であるRNGについて考える。この場合、数式(1)は
Xi=(31Xi-1+4)mod 15 (6)
になる。
X0=1を設定した場合、数式(6)はシーケンス1、5、9、13、2、6、10、14、3、7、11、0、4、8、12を生成する。このシーケンスは無限に繰り返される。このシーケンスで3つの数だけ先にジャンプする場合、an=313=29791、c*(a-1)=15*30=450、およびan mod((a-1)c)=313mod(15*30)=29791mod(450)=91である。数式(5)は
((91(Xi30+4)-4)/30)mod 15 (7)
表1は、(7)のジャンプアヘッド計算を示している。この計算は、5から始まり3つ先にジャンプする。
Figure 2014090493
G.高速パケット・フィルタ
アドレス・ホッピングVPNは、パケットが妥当なヘッドを有し、したがって、さらなる処理を必要とするか、それとも不当なヘッダを有し(有害なパケット)、ただちに拒絶すべきであるかどうかを高速に判定しなければならない。このような高速の判定を「高速パケット・フィルタリング」と呼ぶ。この機能は、受信側のプロセッサを飽和させるために受信側で有害なパケットのストリームを高速に作成する侵入者によるアタック(いわゆる「サービス拒否」アタック)からVPNを保護する。高速パケット・フィルタリングは、イーサネット(登録商標)などの共用媒体上でVPNを実施するための重要な機能である。
VPNのすべての参加者が、割り当てられていない「A」アドレス・ブロックを共用すると仮定した場合、1つの可能性として、共用媒体上でアドレス・ホッピングされないマシンに割り当てられることのない実験的な「A」ブロックが使用される。「A」ブロックは、「C」ブロック内の8ビットとは逆にホップできる24ビットのアドレスを有する。この場合、ホップブロックは「A」ブロックになる。イーサネット(登録商標)上では以下の理由で、実験的な「A」ブロックが使用される可能性が高い。
1.アドレスが、イーサネット(登録商標)の外部で無効であり、ゲートウェイによって妥当な外部の着信先にルーティングされることがない。
2.各「A」ブロック内でホップできる224(〜1600万)個のアドレスがある。このため、>280兆個の可能なアドレス・ペアが生成され、侵入者が妥当なアドレスを推測できる可能性は非常に低くなる。また、別々のVPN同士が衝突する可能性が許容される程度に低くなる(共用される媒体上のすべてのVPNが独立に、「A」ブロックから無作為のアドレス・ペアを生成する。)
3.(マシンがプロミスキュアス・モードでないかぎり)パケットが、イーサネット(登録商標)上のユーザであり、かつVPN上には存在しないユーザに受信されることがなく、非VPNコンピュータに対する影響が最小限に抑えられる。
このイーサネット(登録商標)の例を、高速パケット・フィルタリングの1インプリメンテーションを説明するために使用する。理想的なアルゴリズムは、パケット・ヘッダを高速に調べ、パケットが有害であるかどうかを判定し、あらゆる有害なパケットを拒絶するか、あるいはパケット・ヘッダが一致するのはどのアクティブIPペアかを判定する。この場合の問題は、従来のアソシエーティブ・メモリの問題である。この問題を解決するために様々な技法が開発されている(ハッシング、Bツリーなど)。これらの手法はそれぞれ、利点と欠点を有する。たとえば、ハッシュ・テーブルは、統計的な意味で極めて高速に動作させることができるが、場合によってはずっと低速のアルゴリズムに退化することがある。この低速はある期間にわたって持続することがある。有害なパケットは常に高速に破棄する必要があるので、ハッシングは受け入れられない。
H.存在ベクトル・アルゴリズム
存在ベクトルとは、nビット番号(それぞれ0から2n-1までの範囲)によってインデックス付けすることのできる長さ2nのビット・ベクトルである。各番号によってインデックス付けされた存在ベクトル内のビットを1に設定することにより、k個のnビット番号(必ずしも一意ではない)の存在を示すことができる。nビット番号xがk個の番号のうちの1つであるのは、存在ベクトルのx番目のビットが1である場合だけである。存在ベクトルにインデックス付けし、1を探すことによって高速パケット・フィルタを実施することができる。この方法を「テスト」と呼ぶ。
たとえば、存在ベクトルを使用して番号135を表す必要があるものと仮定する。ベクトルの135番目のビットが設定される。したがって、1つのビット、すなわち135番目のビットを検査することによって、アドレス135が妥当であるかどうかを迅速に判定することができる。存在ベクトルは、IPアドレスのテーブル・エントリに対応するように事前に作成することができる。実際には、着信アドレスを長いベクトルのインデックスとして使用して、比較を非常に高速に行うことができる。各RNGが新しいアドレスを生成すると、存在ベクトルはこの情報を反映するように更新される。ウインドウが移動すると、存在ベクトルは、もはや妥当ではないアドレスをゼロにするように更新される。
テストの効率と、存在ベクトルを記憶するのに必要なメモリの量との兼ね合せがある。たとえば、48ビットのホッピング・アドレスをインデックスとして使用する必要がある場合、存在ベクトルは35テラバイトを有する必要がある。これが実際上大き過ぎることは明らかである。この代わりに、48ビットをいくつかのより小さなフィールドに分割することができる。たとえば、48ビットを4つの12ビット・フィールドに細分することができる。これによって、記憶要件は2048バイトに削減され、その代わりに、ときどき有害なパケットを処理しなければならなくなる。実際には、1つの長い存在ベクトルではなく、分解された各アドレス部分が、4つの短い存在ベクトルのすべてに一致しないかぎり、さらなる処理が許可されなくなる。(アドレス部分の第1の部分が第1の存在ベクトルに一致しない場合、残りの3つの存在ベクトルを検査する必要はない)。
存在ベクトルのy番目のビットが1であるのは、対応するフィールドがyである1つまたは複数のアドレスがアクティブである場合だけである。アドレスがアクティブであるのは、そのアドレスの適切なサブフィールドによってインデックス付けされた各存在ベクトルが1である場合だけである。
32個のアクティブ・アドレスおよび3個のチェックポイントから成るウインドウについて考える。有害なパケットは、1つの存在ベクトルに99%よりも長い時間にわたってインデックス付けすることによって拒絶される。有害なパケットは、4つの存在ベクトルのすべてに99.9999995%よりも長い時間にわたってインデックス付けすることによって拒絶される。平均すると、有害なパケットは1.02回未満の存在ベクトル・インデックス動作で拒絶される。高速パケット・フィルタを通過した少数の有害パケットは、一致するペアが、アクティブウインドウ内に見つからないか、あるいはアクティブ・チェックポイントであるときに拒絶される。思いがけずヘッダに一致した有害なパケットは、VPNソフトウェアがこのヘッダの復号を試みたときに拒絶される。しかし、これらのケースは極めてまれである。空間と速度の兼合いを図るようにこの方法を構成する手段として、他に多くの方法がある。

Claims (63)

  1. 下記の段階を含む、第1のコンピュータと第2のコンピュータとの間の情報を送信する方法:
    (1)連続するデータ・パケット間で周期的に変化する各ディスクリミネータ値が、各データ・パケット内の他のデータの値のみに基づく値ではない、複数のデータ・パケットのそれぞれにディスクリミネータ値を埋め込む段階、
    (2)第1のコンピュータと第2のコンピュータとの間で複数のデータ・パケットを送信する段階、
    (3)送信されたデータ・パケットを第2のコンピュータで受信する段階、および
    (4)受信された各データ・パケットについて、該ディスクリミネータ値を1組の有効なディスクリミネータ値と比較し、一致を検出したことに応答して、受信されたデータ・パケットを受け付けてさらに処理し、そうでない場合には、受信されたデータ・パケットを拒否する段階。
  2. 段階(1)が、インタネット・プロトコル・ヘッダ内のインタネット・プロトコル・アドレスをディスクリミネータ値として使用する段階を含み、該インタネット・プロトコル・アドレスが、インタネットを介してデータ・パケットをルーティングするために使用される、請求項1記載の方法。
  3. 連続するパケット間でインタネット・プロトコル・アドレスの一部のみの値を変化させる段階をさらに含む、請求項2記載の方法。
  4. 各データ・パケットのインタネット・プロトコル・ヘッダの外部のデータ・フィールドをディスクリミネータ値として使用する段階をさらに含む、請求項1記載の方法。
  5. 段階(1)および(4)がISO標準通信プロトコルのデータ・リンク層で実行される、請求項1記載の方法。
  6. 段階(1)が、ディスクリミネータ値として媒体アクセス制御(MAC)ハードウェア・アドレスを使用する段階を含み、MACハードウェア・アドレスがローカル・エリア・ネットワーク上でデータ・パケットをルーティングするために使用される、請求項1記載の方法。
  7. 段階(1)が、連続する各パケットごとに異なるディスクリミネータ値を使用する段階を含む、請求項1記載の方法。
  8. 段階(4)が、各ディスクリミネータ値を有効なディスクリミネータ値のウインドウと比較する段階を含み、該ウインドウが、有効である可能性のある少数のディスクリミネータ値のみとの比較を可能にするのに十分な幅を有し、段階(4)が、連続するデータ・パケットが受信されたときにウインドウを移動させる段階をさらに含む、請求項1記載の方法。
  9. 1組の有効なディスクリミネータ値を生成するのに十分な情報を第1のコンピュータと第2のコンピュータとの間で共用する段階をさらに含む、請求項1記載の方法。
  10. 連続的に有効なディスクリミネータ値を選択するアルゴリズムを第1のコンピュータから第2のコンピュータに送信する段階をさらに含む、請求項1記載の方法。
  11. 段階(4)が、存在ベクトルを使用して、各データ・パケットを受け付けるかどうかを判定する段階を含む、請求項1記載の方法。
  12. 段階(4)が、ハッシュ関数を使用して、ディスクリミネータ値が有効であるかどうかを判定する段階を含む、請求項1記載の方法。
  13. 第1のコンピュータと第2のコンピュータとの間で同期要求を送信する段階をさらに含み、第2のコンピュータが、該同期要求を使用して有効なディスクリミネータ値の同期を維持する、請求項1記載の方法。
  14. 第2のコンピュータからの同期肯定応答の受信に失敗したことに応答して、第2のコンピュータへのデータ・パケットの送信を遮断する段階をさらに含む、請求項13記載の方法。
  15. 第2のコンピュータが、有効である可能性のある1組のディスクリミネータ値において同期を再確立できるようにする同期値を、各データ・パケットに埋め込む段階をさらに含む、請求項13記載の方法。
  16. 第1のコンピュータから同期要求を受信したことに応答して、第2のコンピュータ内の有効なディスクリミネータ値のウインドウを移動させる段階をさらに含む、請求項13記載の方法。
  17. 段階(1)が、インタネット・プロトコル・ヘッダ内のインタネット・プロトコル送信元アドレスをディスクリミネータ値の第1の部分として使用し、インタネット・プロトコル・ヘッダ内のインタネット・プロトコル着信先アドレスをディスクリミネータ値の第2の部分として使用する段階を含み、該送信元アドレスおよび着信先アドレスが、インタネットを介して各データ・パケットをルーティングするために使用される、請求項1記載の方法。
  18. 複数のデータ・パケットをフレームに埋め込む段階と、
    準無作為的に生成されフレームをネットワーク上でルーティングするために使用される送信元および着信先ハードウェア・アドレスをフレームに埋め込む段階とをさらに含む、請求項17記載の方法。
  19. 第1の送信テーブルおよび第1の受信テーブルを第1のコンピュータ内に維持し、且つ第2の送信テーブルおよび第2の受信テーブルを第2のコンピュータ内に維持する段階をさらに含み、
    各送信テーブルが、発信データ・パケットに挿入すべき有効なディスクリミネータ値のリストを含み、
    各受信テーブルが、着信データ・パケットと比較すべき有効なディスクリミネータ値のリストを含み、
    第1のコンピュータ内の第1の送信テーブルが第2のコンピュータ内の第2の受信テーブルに一致し、第1のコンピュータ内の第1の受信テーブルが第2のコンピュータ内の第2の送信テーブルに一致する、請求項1記載の方法。
  20. 下記の段階を含む、複数の物理送信パスを通して互いに接続された複数のコンピュータを備えるネットワークを介してデータ・パケットを送信する方法:
    (1)複数のデータ・パケットのそれぞれについて、複数のコンピュータを通る複数の物理送信パスのうちの1つを無作為に選択する段階、および
    (2)無作為に選択された物理送信パスを介して各データ・パケットを送信する段階。
  21. 段階(1)が下記の段階を含む、請求項20記載の方法:
    (a)ネットワーク内の一対のコンピュータによって規定されるパスを選択する段階、
    (b)選択されたパスに関連する有効な送信元アドレスおよび着信先アドレスを選択する段階、ならびに
    (c)有効な送信元アドレスおよび着信先アドレスを、選択されたパスを介して送信する前にデータ・パケットに挿入する段階。
  22. 連続するデータ・パケット間で周期的に変化する各ディスクリミネータ値が、各データ・パケット内の他のデータの値のみに基づく値ではない、複数のデータ・パケットのそれぞれにディスクリミネータ値を埋め込む第1のコンピュータと、
    ネットワークを通して第1のコンピュータに結合された第2のコンピュータとを備えるシステムであって、
    該第1のコンピュータが該第2のコンピュータに複数のデータ・パケットを送信し、
    該第2のコンピュータが、送信されたデータ・パケットを受信し、受信された各データ・パケット内のディスクリミネータ値を1組の有効なディスクリミネータ値と比較し、一致を検出したことに応答して、受信されたデータ・パケットを受け付けてさらに処理し、そうでない場合には、受信されたデータ・パケットを拒否するシステム。
  23. 第1のコンピュータが、ディスクリミネータ値としてのインタネット・プロトコル・ヘッダ内のインタネット・プロトコル・アドレスを複数のデータ・パケットのそれぞれに埋め込み、インタネット・プロトコル・アドレスが、インタネットを介してデータ・パケットをルーティングするために使用される、請求項22記載のシステム。
  24. 第1のコンピュータが、連続するパケット間でインタネット・プロトコル・アドレスの一部のみの値を変化させる、請求項22記載のシステム。
  25. 第1のコンピュータが、各データ・パケットのインタネット・プロトコル・ヘッダの外部のデータ・フィールドにディスクリミネータ値を埋め込む、請求項22記載のシステム。
  26. 第1のコンピュータが、ISO標準通信プロトコルの第1のデータ・リンク層に各ディスクリミネータ値を埋め込み、第2のコンピュータが、ISO標準通信プロトコルの第2のデータ・リンク層内の各ディスクリミネータ値を比較する、請求項22記載のシステム。
  27. 第1のコンピュータが、ディスクリミネータ値として媒体アクセス制御(MAC)ハードウェア・アドレスを使用し、MACハードウェア・アドレスがローカル・エリア・ネットワーク上でデータ・パケットをルーティングするために使用される、請求項22記載のシステム。
  28. 第1のコンピュータが、連続する各パケットごとに異なるディスクリミネータ値を埋め込む、請求項22記載のシステム。
  29. 第2のコンピュータが、各ディスクリミネータ値を有効なディスクリミネータ値のウインドウと比較し、該ウインドウが、有効である可能性のある少数のディスクリミネータ値のみとの比較を可能にするのに十分な幅を有し、該ウインドウが、連続するデータ・パケットが受信されたときに移動させられる、請求項22記載のシステム。
  30. 第1のコンピュータと第2のコンピュータが、1組の有効なディスクリミネータ値を生成するのに十分な情報を共用する、請求項22記載のシステム。
  31. 第1のコンピュータが、連続的に有効なディスクリミネータ値を選択するアルゴリズムを第2のコンピュータに送信する、請求項22記載のシステム。
  32. 第2のコンピュータが、存在ベクトルを使用して、各データ・パケットを受け付けるかどうかを判定する、請求項22記載のシステム。
  33. 第2のコンピュータが、ハッシュ関数を使用して、ディスクリミネータ値が有効であるかどうかを判定する、請求項22記載のシステム。
  34. 第1のコンピュータが第2のコンピュータに同期要求を送信し、該第2のコンピュータが、該同期要求を使用して有効なディスクリミネータ値の同期を維持する、請求項22記載のシステム。
  35. 第1のコンピュータが、第2のコンピュータからの同期肯定応答の受信に失敗したことに応答して、第2のコンピュータへのデータ・パケットの送信を遮断する、請求項34記載のシステム。
  36. 第1のコンピュータが、第2のコンピュータが有効である可能性のある1組のディスクリミネータ値において同期を再確立できるようにする同期値を、各データ・パケットに埋め込む、請求項34記載のシステム。
  37. 第2のコンピュータが、第1のコンピュータから同期要求を受信したことに応答して、有効なディスクリミネータ値のウインドウを移動させる、請求項34記載のシステム。
  38. 第1のコンピュータが、インタネット・プロトコル送信元アドレスをインタネット・プロトコル・ヘッダにディスクリミネータ値の第1の部分として埋め込み、インタネット・プロトコル着信先アドレスをインタネット・プロトコル・ヘッダにディスクリミネータ値の第2の部分として埋め込み、該送信元アドレスおよび着信先アドレスが、インタネットを介して各データ・パケットをルーティングするために使用される、請求項22記載のシステム。
  39. 第1のコンピュータが、複数のデータ・パケットをフレームに埋め込み、送信元および着信先ハードウェア・アドレスをフレームに埋め込み、該送信元および着信先ハードウェア・アドレスが、準無作為的に生成され、フレームをネットワーク上でルーティングするために使用される、請求項38記載のシステム。
  40. 第1のコンピュータが、第1の送信テーブルおよび第1の受信テーブルを備え、
    第2のコンピュータが、第2の送信テーブルおよび第2の受信テーブルを備え、
    各送信テーブルが、発信データ・パケットに挿入すべき有効なディスクリミネータ値のリストを含み、
    各受信テーブルが、着信データ・パケットと比較すべき有効なディスクリミネータ値のリストを含み、
    第1のコンピュータ内の第1の送信テーブルが第2のコンピュータ内の第2の受信テーブルに一致し、
    第1のコンピュータ内の第1の受信テーブルが第2のコンピュータ内の第2の送信テーブルに一致する、請求項22記載のシステム。
  41. 偽(pseudo)無作為ディスクリミネータ値を生成し、送信されるデータ・パケットに偽無作為ディスクリミネータ値を埋め込む送信側ノードと、
    送信側ノードによって送信されたデータ・パケットを受信し、受信された各パケットごとに、偽無作為的に生成されたディスクリミネータ値を抽出し、該ディスクリミネータ値を、送信側ノードと受信側ノードとの間で共用される有効である可能性のある1組のディスクリミネータ値と比較し、一致を検出したことに応答して、データ・パケットを受け付け、そうでない場合はパケットを破棄する受信側ノードとの組合せを備えるシステム。
  42. 受信側ノードが、有効なディスクリミネータ値のウインドウを維持し、該ウインドウが、一致を検出したことに応答して移動させられる、請求項41記載のシステム。
  43. 偽無作為的に生成された各ディスクリミネータ値が、受信側ノードに割り当てられた有効なインタネット・プロトコル・アドレスを含む、請求項41記載のシステム。
  44. 偽無作為的に生成された各ディスクリミネータ値が、受信側ノードに割り当てられた有効な媒体アクセス制御(MAC)ハードウェア・アドレスを含む、請求項41記載のシステム。
  45. 送信側ノードが、連続する各データ・パケットごとに、それぞれの異なる、偽無作為的に生成されたディスクリミネータ値を生成する、請求項41記載のシステム。
  46. 送信側コンピュータからデータ・パケットを受信する受信側コンピュータであって、
    (1)受信された各データ・パケットごとに、送信側コンピュータによって挿入されたディスクリミネータ値を抽出する段階と、
    (2)抽出されたディスクリミネータ値を、すでに送信側コンピュータと共用されている情報に基づいて、1組の有効なディスクリミネータ値と比較する段階と、
    (3)段階(2)で一致を検出したことに応答して、受信されたデータ・パケットを受け付けてさらに処理し、そうでない場合はデータ・パケットを拒否する段階とを実行するコンピュータ命令を備える、受信側コンピュータ。
  47. ディスクリミネータ値として各データ・パケットのヘッダ部分からインタネット・プロトコル・アドレスを抽出するコンピュータ命令をさらに備える、請求項46記載の受信側コンピュータ。
  48. 受信側コンピュータが、有効なディスクリミネータ値のウインドウを維持し、該ウインドウが、一致を検出したことに応答して移動させられる、請求項46記載の受信側コンピュータ。
  49. 1組の有効なディスクリミネータ値を確立するのに十分な情報を送信側コンピュータから受信する、請求項46記載の受信側コンピュータ。
  50. 下記の段階を含む、特定の順序に配置された複数のデータ・バイトを含むデータを第1のコンピュータから第2のコンピュータに送信する方法:
    (1)複数のデータ・パケットにデータを無作為に分配するにはどうすべきかを決定する共通のアルゴリズムを第1のコンピュータおよび第2のコンピュータにおいて確立する段階、
    (2)第1のコンピュータにおいて、共通のアルゴリズムに従って複数のデータ・パケットに複数のデータ・バイトを無作為に分配する段階、
    (3)複数のデータ・パケットを第1のコンピュータから第2のコンピュータに送信する段階、および
    (4)第2のコンピュータにおいて、無作為に分配された複数のデータ・バイトを、複数のデータ・パケットから抽出し、共通のアルゴリズムに従って特定の順序に並べ直す段階。
  51. 段階(3)が、複数のデータ・パケットのそれぞれをコンピュータ・ネットワーク内の異なるパスを介して送信する段階を含む、請求項50記載の方法。
  52. 複数のデータ・パケットにデータを割り付けるための無作為分配パターンを確立するアルゴリズムを含み、データ供給源からのデータ・バイトを無作為分配パターンに従って複数のデータ・パケットに無作為に分配し、複数のデータ・パケットをネットワークを介して送信する第1のコンピュータと、
    ネットワークを介して第1のコンピュータに結合されており、第1のコンピュータから複数のデータ・パケットを受信し、無作為に分配されたデータ・バイトを抽出し、該データ・バイトをアルゴリズムに従って最初の順序に並べ直す第2のコンピュータとを備えるシステム。
  53. 第1のコンピュータが、複数のデータ・パケットのそれぞれをネットワーク内のそれぞれの異なるパスを介して送信する、請求項52記載のシステム。
  54. 下記の段階を含む、送信側コンピュータと受信側コンピュータとの間でデータ・パケットを安全に送信する方法:
    (1)送信側コンピュータおよび受信側コンピュータに知られているが、送信側コンピュータと受信側コンピュータとの間の中間コンピュータには知られていないセッション鍵を使用してデータ・パケットを暗号化する段階、
    (2)段階(1)で暗号化されたデータ・パケットに、該データ・パケットを識別するパケット・ヘッダを付加する段階、
    (3)段階(2)で作成された組み合わされたパケット・ヘッダと暗号化データ・パケットを、第1のコンピュータと第2のコンピュータとの間に配置された複数の各中間コンピュータに知られているリンク鍵を使用して暗号化する段階、
    (4)段階(3)で暗号化されたパケットをルーティングするために平文パケット・ヘッダを付加する段階、および
    (5)段階(4)で作成されたパケットを送信する段階。
  55. (5)各中間コンピュータにおいて、前のコンピュータから受信されたパケットを復号し、かつリンク鍵を使用して復号する段階と、
    (6)ネットワーク内の次の中間ネットワークに知られている異なるリンク鍵を使用してパケットを再暗号化する段階と、
    (7)段階(6)で再暗号化されたパケットをルーティングするために平文パケット・ヘッダを付加する段階と、
    (8)段階(7)で作成されたパケットを次の中間コンピュータに送信する段階とをさらに含む、請求項54記載の方法。
  56. 受信側コンピュータにおいて、セッション鍵を使用してパケットを復号する段階をさらに含む、請求項55記載の方法。
  57. 下記の段階を含む、コンピュータ・ネットワークを介してデータを送信する方法:
    コンピュータ・ネットワークに接続された発信側端末において、データ・ストリームを受信し、該データ・ストリームから第1レベル・データ・パケット・ペイロードを形成する段階、
    データ・ストリーム用のネットワーク着信先アドレスを識別し、ネットワーク着信先アドレスを表すデータを含む第1レベル・ヘッダを各データ・パケットに付加して第1レベル・パケットを形成する段階、
    各第1レベル・パケットを暗号化して第2レベル・パケット・ペイロードを形成する段階、
    発信側端末を着信先に接続する少なくとも1つの中間ルータのアドレスを着信先アドレスとして含むペイロード・ヘッダを第2のレベル・パケットに付加して第2レベル・パケットを形成する段階、
    第2レベル・パケットを該少なくとも1つの中間ルータに送信する段階、および
    該少なくとも1つの中間ルータにおいて、少なくとも1つの第2レベル・ペイロードを復号し、第1レベル・ヘッダから着信先アドレスを判定し、少なくとも第1レベル・パケット・ペイロードを含む新しいパケットを形成し、着信先アドレスを含むヘッダを新しいパケットに付加し、それによって、データ・ストリームの真の着信先が、ネットワークを介して送信される少なくとも一部の時間の間、暗号化層に隠される段階。
  58. 付加段階が、一群の中間ルータから無作為に選択することによって少なくとも1つの中間ルータを決定することを含む、請求項57記載の方法。
  59. 第1レベル・ヘッダから着信先アドレスを判定する段階が、中間ルータ上に記憶されている相関データによって、ネットワーク着信先アドレスを表すデータをネットワーク着信先アドレスに変換することを含む、請求項57記載の方法。
  60. 第1レベル・パケットがネットワーク着信先に到着する前に行うホップの数のインディケータを第1層ヘッダと第2層ヘッダの一方に含める段階をさらに含み、少なくとも1つの中間ルータが、ホップの数のインディケータを減分させ、ホップの数のインディケータの値に応じてそれぞれ別の中間ルータに第1レベル・パケットを送信する、請求項57記載の方法。
  61. 下記の段階を含む、パケット・ネットワーク上でパケットをルーティングする方法:
    セッション鍵を用いてメッセージ・データをブロック暗号化してペイロードを形成する段階、
    ブロック暗号化によって暗号化されたブロックを、ブロック暗号化段階によるデータのインタリーブ部分が少なくとも2つのデータ・ペイロードの間に入るように少なくとも2つのデータ・ペイロードに分割する段階、
    少なくとも2つのデータ・ペイロードのそれぞれを、パケットの最終的な着信先を識別する着信先データと共に、リンク鍵を用いて暗号化する段階、
    第1の中間着信先アドレスを示す第1のホップ・アドレスを最後の暗号化段階の結果として得られた第1のペイロードと組み合わせ、結果として得られた第1のパケットを第1の中間着信先アドレスに送信する段階、および
    第2の中間着信先アドレスを示す第2のホップ・アドレスを最後の暗号化段階の結果として得られた第2のペイロードと組み合わせ、結果として得られた第2のパケットを第2の中間着信先アドレスに送信する段階。
  62. 第1のパケットに第1のホップ・カウンタを組み合わせる段階と、
    第1の中間着信先アドレスに一致する端末において、第1のホップ・カウンタに応じて、第1のパケットを最終的な着信先アドレスに送信するよう判定する段階と、
    第1の中間着信先アドレスに一致する端末において、リンク鍵を用いて第1のペイロードを復号して最終的な着信先アドレスを明らかにし、判定段階に応じて第1のパケットを最終的な着信先アドレスに送信する段階とをさらに含む、請求項61記載の方法。
  63. 第2のパケットに第2のホップ・カウンタを組み合わせる段階と、
    第2の中間着信先アドレスに一致する端末において、第2のホップ・カウンタに応じて、第1のパケットを最終的な着信先アドレスに送信するよう判定する段階と、
    第2の中間着信先アドレスに一致する端末において、リンク鍵を用いて第2のペイロードを復号して最終的な着信先アドレスを明らかにし、最後の判定段階に応じて第2のパケットを最終的な着信先アドレスに送信する段階とをさらに含む、請求項61記載の方法。
JP2014000051A 1998-10-30 2014-01-06 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル Expired - Lifetime JP5685326B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US10626198P 1998-10-30 1998-10-30
US60/106,261 1998-10-30
US13770499P 1999-06-07 1999-06-07
US60/137,704 1999-06-07

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2011081417A Division JP2011193477A (ja) 1998-10-30 2011-04-01 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル

Publications (2)

Publication Number Publication Date
JP2014090493A true JP2014090493A (ja) 2014-05-15
JP5685326B2 JP5685326B2 (ja) 2015-03-18

Family

ID=26803485

Family Applications (7)

Application Number Title Priority Date Filing Date
JP2000580354A Withdrawn JP2002529779A (ja) 1998-10-30 1999-10-29 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
JP2000580350A Expired - Lifetime JP4451566B2 (ja) 1998-10-30 1999-10-29 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
JP2009246033A Expired - Lifetime JP4824108B2 (ja) 1998-10-30 2009-10-27 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
JP2011081417A Withdrawn JP2011193477A (ja) 1998-10-30 2011-04-01 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
JP2011081416A Expired - Lifetime JP5198617B2 (ja) 1998-10-30 2011-04-01 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
JP2014000052A Withdrawn JP2014090494A (ja) 1998-10-30 2014-01-06 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
JP2014000051A Expired - Lifetime JP5685326B2 (ja) 1998-10-30 2014-01-06 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル

Family Applications Before (6)

Application Number Title Priority Date Filing Date
JP2000580354A Withdrawn JP2002529779A (ja) 1998-10-30 1999-10-29 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
JP2000580350A Expired - Lifetime JP4451566B2 (ja) 1998-10-30 1999-10-29 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
JP2009246033A Expired - Lifetime JP4824108B2 (ja) 1998-10-30 2009-10-27 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
JP2011081417A Withdrawn JP2011193477A (ja) 1998-10-30 2011-04-01 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
JP2011081416A Expired - Lifetime JP5198617B2 (ja) 1998-10-30 2011-04-01 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
JP2014000052A Withdrawn JP2014090494A (ja) 1998-10-30 2014-01-06 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル

Country Status (9)

Country Link
US (10) US7010604B1 (ja)
EP (4) EP1125414B1 (ja)
JP (7) JP2002529779A (ja)
AT (2) ATE492973T1 (ja)
AU (2) AU761388B2 (ja)
CA (3) CA2723504C (ja)
DE (2) DE69943057D1 (ja)
ES (1) ES2760905T3 (ja)
WO (2) WO2000027086A2 (ja)

Families Citing this family (299)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6665702B1 (en) 1998-07-15 2003-12-16 Radware Ltd. Load balancing
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
ES2760905T3 (es) * 1998-10-30 2020-05-18 Virnetx Inc Un protocolo de red agile para comunicaciones seguras con disponibilidad asegurada de sistema
US10511573B2 (en) 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US6826616B2 (en) * 1998-10-30 2004-11-30 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network
US7418504B2 (en) 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
WO2001008066A1 (en) * 1999-07-26 2001-02-01 Iprivacy Llc Electronic purchase of goods over a communication network including physical delivery while securing private and personal information
EP1224932A4 (en) * 1999-08-20 2002-10-16 Sagami Chem Res DRUGS INHIBITING CELL DEATH
US6980658B1 (en) * 1999-09-30 2005-12-27 Qualcomm Incorporated Method and apparatus for encrypting transmissions in a communication system
US8676896B1 (en) 1999-12-10 2014-03-18 At&T Intellectual Property Ii, L.P. Network-based service for secure electronic mail delivery on an internet protocol network
AU2774901A (en) * 2000-01-06 2001-07-16 L90, Inc. Method and apparatus for selecting and delivering internet based advertising
US8335994B2 (en) * 2000-02-25 2012-12-18 Salmon Alagnak Llc Method and apparatus for providing content to a computing device
AU2016701A (en) * 2000-06-19 2002-01-02 Martin Gilbert Secure communications method
US7111163B1 (en) 2000-07-10 2006-09-19 Alterwan, Inc. Wide area network using internet with quality of service
US8087064B1 (en) * 2000-08-31 2011-12-27 Verizon Communications Inc. Security extensions using at least a portion of layer 2 information or bits in the place of layer 2 information
KR100392206B1 (ko) * 2000-11-10 2003-07-22 (주)인터미디어 인터넷 통신방법
US20030084020A1 (en) * 2000-12-22 2003-05-01 Li Shu Distributed fault tolerant and secure storage
US7739497B1 (en) * 2001-03-21 2010-06-15 Verizon Corporate Services Group Inc. Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
US20020161904A1 (en) * 2001-04-30 2002-10-31 Xerox Corporation External access to protected device on private network
JP4727860B2 (ja) 2001-08-03 2011-07-20 富士通株式会社 無線操作装置、およびプログラム
WO2003019404A1 (en) * 2001-08-30 2003-03-06 Riverhead Networks Inc. Protecting against distributed denial of service attacks
US20030046532A1 (en) * 2001-08-31 2003-03-06 Matthew Gast System and method for accelerating cryptographically secured transactions
US20030069981A1 (en) * 2001-10-09 2003-04-10 Koninklijke Philips Electronics N.V. IP hopping for secure data transfer
US8868715B2 (en) * 2001-10-15 2014-10-21 Volli Polymer Gmbh Llc Report generation and visualization systems and methods and their use in testing frameworks for determining suitability of a network for target applications
US8543681B2 (en) * 2001-10-15 2013-09-24 Volli Polymer Gmbh Llc Network topology discovery systems and methods
US7171493B2 (en) 2001-12-19 2007-01-30 The Charles Stark Draper Laboratory Camouflage of network traffic to resist attack
US8087083B1 (en) * 2002-01-04 2011-12-27 Verizon Laboratories Inc. Systems and methods for detecting a network sniffer
US7114005B2 (en) * 2002-02-05 2006-09-26 Cisco Technology, Inc. Address hopping of packet-based communications
US7865715B2 (en) * 2002-02-28 2011-01-04 Hewlett-Packard Development Company, L.P. Increasing peer privacy
US7624437B1 (en) * 2002-04-02 2009-11-24 Cisco Technology, Inc. Methods and apparatus for user authentication and interactive unit authentication
US7140041B2 (en) * 2002-04-11 2006-11-21 International Business Machines Corporation Detecting dissemination of malicious programs
KR100878764B1 (ko) * 2002-07-06 2009-01-14 삼성전자주식회사 사용자의 익명성보장을 위한 무선 랜 시스템 및 사용자의익명성 보장방법
US7246231B2 (en) * 2002-10-31 2007-07-17 Ntt Docomo, Inc. Location privacy through IP address space scrambling
JP3941709B2 (ja) * 2003-02-19 2007-07-04 ブラザー工業株式会社 ネットワーク印刷システム、Webサーバ、印刷装置、及びプログラム。
US7926104B1 (en) * 2003-04-16 2011-04-12 Verizon Corporate Services Group Inc. Methods and systems for network attack detection and prevention through redirection
PL1620997T3 (pl) * 2003-04-25 2015-03-31 Philips Lighting Holding Bv Zmniejszenie narzutu i ochrona adresu w stosie komunikacji
US8218542B2 (en) * 2003-04-25 2012-07-10 Koninklijke Philips Electronics N.V. Overhead reduction and address protection in communication stack
US7305705B2 (en) * 2003-06-30 2007-12-04 Microsoft Corporation Reducing network configuration complexity with transparent virtual private networks
US7693103B2 (en) * 2004-09-09 2010-04-06 Sony Corporation System and method for automatically performing a channel selection procedure in a wireless network
GB2412038B (en) * 2004-03-10 2006-04-19 Toshiba Res Europ Ltd Packet format
US8782405B2 (en) * 2004-03-18 2014-07-15 International Business Machines Corporation Providing transaction-level security
US7552476B2 (en) * 2004-06-25 2009-06-23 Canon Kabushiki Kaisha Security against replay attacks of messages
CN100345428C (zh) * 2004-07-26 2007-10-24 南京邮电学院 无线自组织网络中的多包分离方法
US7747774B2 (en) * 2004-08-23 2010-06-29 At&T Intellectual Property I, L.P. Methods, systems and computer program products for obscuring traffic in a distributed system
CN100413283C (zh) * 2004-09-21 2008-08-20 北京锐安科技有限公司 基于连接对的流量均衡处理方法与装置
US7624447B1 (en) 2005-09-08 2009-11-24 Cisco Technology, Inc. Using threshold lists for worm detection
US8688856B2 (en) * 2006-01-24 2014-04-01 Novell, Inc. Techniques for managing a network delivery path of content via a key
US20080005558A1 (en) * 2006-06-29 2008-01-03 Battelle Memorial Institute Methods and apparatuses for authentication and validation of computer-processable communications
US8059011B2 (en) * 2006-09-15 2011-11-15 Itron, Inc. Outage notification system
US8745185B1 (en) * 2006-10-12 2014-06-03 Timothy J. Salo Method and apparatus for providing semantically aware network services
WO2008118227A2 (en) * 2006-12-08 2008-10-02 Unisys Corporation Securing multicast data
CA2571891C (en) * 2006-12-21 2015-11-24 Bce Inc. Device authentication and secure channel management for peer-to-peer initiated communications
US8156557B2 (en) * 2007-01-04 2012-04-10 Cisco Technology, Inc. Protection against reflection distributed denial of service attacks
US8464334B1 (en) * 2007-04-18 2013-06-11 Tara Chand Singhal Systems and methods for computer network defense II
US20080281966A1 (en) * 2007-05-07 2008-11-13 International Business Machines Corporation Method and system of network communication privacy between network devices
JP5040472B2 (ja) * 2007-06-28 2012-10-03 富士通株式会社 表示制御装置、表示制御プログラム及び方法
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices
US8812858B2 (en) * 2008-02-29 2014-08-19 Red Hat, Inc. Broadcast stenography of data communications
US8195949B2 (en) * 2008-02-29 2012-06-05 Red Hat, Inc. Mechanism for generating message sequence order numbers
US8401192B2 (en) * 2008-02-29 2013-03-19 Red Hat, Inc. Mechanism for securely ordered message exchange
US20100175122A1 (en) * 2009-01-08 2010-07-08 Verizon Corporate Resources Group Llc System and method for preventing header spoofing
US9042549B2 (en) 2009-03-30 2015-05-26 Qualcomm Incorporated Apparatus and method for address privacy protection in receiver oriented channels
US8379845B2 (en) * 2009-06-19 2013-02-19 Texas Instruments Incorporated Multilayer encryption of a transport stream data and modification of a transport header
US20100333188A1 (en) * 2009-06-29 2010-12-30 Politowicz Timothy J Method for protecting networks against hostile attack
US8782434B1 (en) 2010-07-15 2014-07-15 The Research Foundation For The State University Of New York System and method for validating program execution at run-time
EP2456242A1 (en) * 2010-11-23 2012-05-23 Alcatel Lucent Communication involving a network and a terminal
US9225538B2 (en) * 2011-09-01 2015-12-29 Microsoft Technology Licensing, Llc Stateless application notifications
US9100324B2 (en) 2011-10-18 2015-08-04 Secure Crossing Research & Development, Inc. Network protocol analyzer apparatus and method
US8935780B2 (en) 2012-02-09 2015-01-13 Harris Corporation Mission management for dynamic computer networks
US8898795B2 (en) 2012-02-09 2014-11-25 Harris Corporation Bridge for communicating with a dynamic computer network
US8819818B2 (en) 2012-02-09 2014-08-26 Harris Corporation Dynamic computer network with variable identity parameters
US8812689B2 (en) * 2012-02-17 2014-08-19 The Boeing Company System and method for rotating a gateway address
US8898782B2 (en) 2012-05-01 2014-11-25 Harris Corporation Systems and methods for spontaneously configuring a computer network
US8959573B2 (en) 2012-05-01 2015-02-17 Harris Corporation Noise, encryption, and decoys for communications in a dynamic computer network
US8966626B2 (en) 2012-05-01 2015-02-24 Harris Corporation Router for communicating data in a dynamic computer network
US9154458B2 (en) 2012-05-01 2015-10-06 Harris Corporation Systems and methods for implementing moving target technology in legacy hardware
US9075992B2 (en) * 2012-05-01 2015-07-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
US9130907B2 (en) 2012-05-01 2015-09-08 Harris Corporation Switch for communicating data in a dynamic computer network
US8935786B2 (en) 2012-05-01 2015-01-13 Harris Corporation Systems and methods for dynamically changing network states
US9063721B2 (en) 2012-09-14 2015-06-23 The Research Foundation For The State University Of New York Continuous run-time validation of program execution: a practical approach
US9069782B2 (en) 2012-10-01 2015-06-30 The Research Foundation For The State University Of New York System and method for security and privacy aware virtual machine checkpointing
US9113347B2 (en) 2012-12-05 2015-08-18 At&T Intellectual Property I, Lp Backhaul link for distributed antenna system
US10009065B2 (en) 2012-12-05 2018-06-26 At&T Intellectual Property I, L.P. Backhaul link for distributed antenna system
US9525524B2 (en) 2013-05-31 2016-12-20 At&T Intellectual Property I, L.P. Remote distributed antenna system
US9999038B2 (en) 2013-05-31 2018-06-12 At&T Intellectual Property I, L.P. Remote distributed antenna system
KR101538762B1 (ko) * 2013-06-12 2015-07-24 서정환 캡슐화 프로토콜을 이용하여 클라이언트의 ip 주소를 서버로 전송하는 중계 시스템 및 방법
US9203798B2 (en) 2013-07-18 2015-12-01 Empire Technology Development Llc Time based IP address hopping
US9503324B2 (en) 2013-11-05 2016-11-22 Harris Corporation Systems and methods for enterprise mission management of a computer network
US8897697B1 (en) 2013-11-06 2014-11-25 At&T Intellectual Property I, Lp Millimeter-wave surface-wave communications
US10177933B2 (en) 2014-02-05 2019-01-08 Apple Inc. Controller networks for an accessory management system
US10454783B2 (en) 2014-02-05 2019-10-22 Apple Inc. Accessory management system using environment model
US9264496B2 (en) 2013-11-18 2016-02-16 Harris Corporation Session hopping
US9338183B2 (en) 2013-11-18 2016-05-10 Harris Corporation Session hopping
US10122708B2 (en) 2013-11-21 2018-11-06 Harris Corporation Systems and methods for deployment of mission plans using access control technologies
US10270809B2 (en) * 2013-12-02 2019-04-23 Akamai Technologies, Inc. Virtual private network (VPN)-as-a-service with delivery optimizations while maintaining end-to-end data security
US9813343B2 (en) 2013-12-03 2017-11-07 Akamai Technologies, Inc. Virtual private network (VPN)-as-a-service with load-balanced tunnel endpoints
US9209902B2 (en) 2013-12-10 2015-12-08 At&T Intellectual Property I, L.P. Quasi-optical coupler
US9462001B2 (en) * 2014-01-15 2016-10-04 Cisco Technology, Inc. Computer network access control
US9641430B2 (en) * 2014-01-22 2017-05-02 Cisco Technology, Inc. Verifying data plane paths based on a validated secure control plane
US10044609B2 (en) * 2014-02-04 2018-08-07 Fastly, Inc. Communication path selection for content delivery
KR102101308B1 (ko) 2014-02-05 2020-04-16 애플 인크. 제어기와 액세서리 사이의 통신을 위한 균일한 통신 프로토콜
US20150236752A1 (en) * 2014-02-20 2015-08-20 Raytheon Bbn Technologies Corp. Method for selection of unique next-time-interval internet protocol address and port
GB2512501A (en) 2014-02-25 2014-10-01 Cambridge Silicon Radio Ltd Packet identification
GB2515853B (en) 2014-02-25 2015-08-19 Cambridge Silicon Radio Ltd Latency mitigation
US11301492B1 (en) * 2014-03-20 2022-04-12 Amazon Technologies, Inc. Network address range storage and retrieval
JP6313646B2 (ja) 2014-04-24 2018-04-18 日立オートモティブシステムズ株式会社 外界認識装置
CN112666841A (zh) * 2014-05-30 2021-04-16 苹果公司 使用环境模型的附件管理系统
WO2015184382A2 (en) * 2014-05-30 2015-12-03 Apple Inc. Controller networks for an accessory management system
JP2015233173A (ja) * 2014-06-09 2015-12-24 Necエンジニアリング株式会社 通信システム、通信装置及び通信方法
US9424064B2 (en) * 2014-08-01 2016-08-23 Raytheon Bbn Technologies Corp. Adaptor implementation for internet protocol address and port hopping
US9692101B2 (en) 2014-08-26 2017-06-27 At&T Intellectual Property I, L.P. Guided wave couplers for coupling electromagnetic waves between a waveguide surface and a surface of a wire
US9768833B2 (en) 2014-09-15 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for sensing a condition in a transmission medium of electromagnetic waves
US10063280B2 (en) 2014-09-17 2018-08-28 At&T Intellectual Property I, L.P. Monitoring and mitigating conditions in a communication network
US9628854B2 (en) 2014-09-29 2017-04-18 At&T Intellectual Property I, L.P. Method and apparatus for distributing content in a communication network
US9615269B2 (en) 2014-10-02 2017-04-04 At&T Intellectual Property I, L.P. Method and apparatus that provides fault tolerance in a communication network
US9685992B2 (en) 2014-10-03 2017-06-20 At&T Intellectual Property I, L.P. Circuit panel network and methods thereof
US9503189B2 (en) 2014-10-10 2016-11-22 At&T Intellectual Property I, L.P. Method and apparatus for arranging communication sessions in a communication system
US9762289B2 (en) 2014-10-14 2017-09-12 At&T Intellectual Property I, L.P. Method and apparatus for transmitting or receiving signals in a transportation system
US9973299B2 (en) 2014-10-14 2018-05-15 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a mode of communication in a communication network
US9577306B2 (en) 2014-10-21 2017-02-21 At&T Intellectual Property I, L.P. Guided-wave transmission device and methods for use therewith
US9564947B2 (en) 2014-10-21 2017-02-07 At&T Intellectual Property I, L.P. Guided-wave transmission device with diversity and methods for use therewith
US9769020B2 (en) 2014-10-21 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for responding to events affecting communications in a communication network
US9627768B2 (en) 2014-10-21 2017-04-18 At&T Intellectual Property I, L.P. Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US9653770B2 (en) 2014-10-21 2017-05-16 At&T Intellectual Property I, L.P. Guided wave coupler, coupling module and methods for use therewith
JP2016082521A (ja) * 2014-10-21 2016-05-16 富士通株式会社 情報処理装置、及び、情報処理方法
US9312919B1 (en) 2014-10-21 2016-04-12 At&T Intellectual Property I, Lp Transmission device with impairment compensation and methods for use therewith
US9780834B2 (en) 2014-10-21 2017-10-03 At&T Intellectual Property I, L.P. Method and apparatus for transmitting electromagnetic waves
US9520945B2 (en) 2014-10-21 2016-12-13 At&T Intellectual Property I, L.P. Apparatus for providing communication services and methods thereof
US20160285834A1 (en) * 2014-11-10 2016-09-29 Qualcomm Incorporated Techniques for encrypting fields of a frame header for wi-fi privacy
US9997819B2 (en) 2015-06-09 2018-06-12 At&T Intellectual Property I, L.P. Transmission medium and method for facilitating propagation of electromagnetic waves via a core
US10009067B2 (en) 2014-12-04 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for configuring a communication interface
US9654173B2 (en) 2014-11-20 2017-05-16 At&T Intellectual Property I, L.P. Apparatus for powering a communication device and methods thereof
US9954287B2 (en) 2014-11-20 2018-04-24 At&T Intellectual Property I, L.P. Apparatus for converting wireless signals and electromagnetic waves and methods thereof
US9544006B2 (en) 2014-11-20 2017-01-10 At&T Intellectual Property I, L.P. Transmission device with mode division multiplexing and methods for use therewith
US9461706B1 (en) 2015-07-31 2016-10-04 At&T Intellectual Property I, Lp Method and apparatus for exchanging communication signals
US9680670B2 (en) 2014-11-20 2017-06-13 At&T Intellectual Property I, L.P. Transmission device with channel equalization and control and methods for use therewith
US9742462B2 (en) 2014-12-04 2017-08-22 At&T Intellectual Property I, L.P. Transmission medium and communication interfaces and methods for use therewith
US9800327B2 (en) 2014-11-20 2017-10-24 At&T Intellectual Property I, L.P. Apparatus for controlling operations of a communication device and methods thereof
US10243784B2 (en) 2014-11-20 2019-03-26 At&T Intellectual Property I, L.P. System for generating topology information and methods thereof
US10340573B2 (en) 2016-10-26 2019-07-02 At&T Intellectual Property I, L.P. Launcher with cylindrical coupling device and methods for use therewith
EP3038313A1 (de) * 2014-12-23 2016-06-29 Siemens Aktiengesellschaft Verfahren zur Übertragung von Daten in einem Automatisierungssystem mit einer verbesserten Absicherung der Daten gegen unberechtigtes Ausspähen, elektronisches Gerät zur Ausführung des Verfahrens und Automatisierungssystem mit zumindest einem derartigen Gerät
US10333696B2 (en) 2015-01-12 2019-06-25 X-Prime, Inc. Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency
US10144036B2 (en) 2015-01-30 2018-12-04 At&T Intellectual Property I, L.P. Method and apparatus for mitigating interference affecting a propagation of electromagnetic waves guided by a transmission medium
US10206170B2 (en) 2015-02-05 2019-02-12 Apple Inc. Dynamic connection path detection and selection for wireless controllers and accessories
US9973516B2 (en) * 2015-02-13 2018-05-15 International Business Machines Corporation Traffic shape obfuscation when using an encrypted network connection
US9876570B2 (en) 2015-02-20 2018-01-23 At&T Intellectual Property I, Lp Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US9749013B2 (en) 2015-03-17 2017-08-29 At&T Intellectual Property I, L.P. Method and apparatus for reducing attenuation of electromagnetic waves guided by a transmission medium
US9705561B2 (en) 2015-04-24 2017-07-11 At&T Intellectual Property I, L.P. Directional coupling device and methods for use therewith
US10224981B2 (en) 2015-04-24 2019-03-05 At&T Intellectual Property I, Lp Passive electrical coupling device and methods for use therewith
US9948354B2 (en) 2015-04-28 2018-04-17 At&T Intellectual Property I, L.P. Magnetic coupling device with reflective plate and methods for use therewith
US9793954B2 (en) 2015-04-28 2017-10-17 At&T Intellectual Property I, L.P. Magnetic coupling device and methods for use therewith
US9871282B2 (en) 2015-05-14 2018-01-16 At&T Intellectual Property I, L.P. At least one transmission medium having a dielectric surface that is covered at least in part by a second dielectric
US9490869B1 (en) 2015-05-14 2016-11-08 At&T Intellectual Property I, L.P. Transmission medium having multiple cores and methods for use therewith
US9748626B2 (en) 2015-05-14 2017-08-29 At&T Intellectual Property I, L.P. Plurality of cables having different cross-sectional shapes which are bundled together to form a transmission medium
US10679767B2 (en) 2015-05-15 2020-06-09 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US10650940B2 (en) 2015-05-15 2020-05-12 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US9917341B2 (en) 2015-05-27 2018-03-13 At&T Intellectual Property I, L.P. Apparatus and method for launching electromagnetic waves and for modifying radial dimensions of the propagating electromagnetic waves
US9866309B2 (en) 2015-06-03 2018-01-09 At&T Intellectual Property I, Lp Host node device and methods for use therewith
US10348391B2 (en) 2015-06-03 2019-07-09 At&T Intellectual Property I, L.P. Client node device with frequency conversion and methods for use therewith
US10154493B2 (en) 2015-06-03 2018-12-11 At&T Intellectual Property I, L.P. Network termination and methods for use therewith
US10812174B2 (en) 2015-06-03 2020-10-20 At&T Intellectual Property I, L.P. Client node device and methods for use therewith
US10103801B2 (en) 2015-06-03 2018-10-16 At&T Intellectual Property I, L.P. Host node device and methods for use therewith
US9912381B2 (en) 2015-06-03 2018-03-06 At&T Intellectual Property I, Lp Network termination and methods for use therewith
US9913139B2 (en) 2015-06-09 2018-03-06 At&T Intellectual Property I, L.P. Signal fingerprinting for authentication of communicating devices
US10142086B2 (en) 2015-06-11 2018-11-27 At&T Intellectual Property I, L.P. Repeater and methods for use therewith
US9608692B2 (en) 2015-06-11 2017-03-28 At&T Intellectual Property I, L.P. Repeater and methods for use therewith
US9820146B2 (en) 2015-06-12 2017-11-14 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
US9667317B2 (en) 2015-06-15 2017-05-30 At&T Intellectual Property I, L.P. Method and apparatus for providing security using network traffic adjustments
US9865911B2 (en) 2015-06-25 2018-01-09 At&T Intellectual Property I, L.P. Waveguide system for slot radiating first electromagnetic waves that are combined into a non-fundamental wave mode second electromagnetic wave on a transmission medium
US9640850B2 (en) 2015-06-25 2017-05-02 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a non-fundamental wave mode on a transmission medium
US9509415B1 (en) 2015-06-25 2016-11-29 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a fundamental wave mode on a transmission medium
US9853342B2 (en) 2015-07-14 2017-12-26 At&T Intellectual Property I, L.P. Dielectric transmission medium connector and methods for use therewith
US10320586B2 (en) 2015-07-14 2019-06-11 At&T Intellectual Property I, L.P. Apparatus and methods for generating non-interfering electromagnetic waves on an insulated transmission medium
US10033107B2 (en) 2015-07-14 2018-07-24 At&T Intellectual Property I, L.P. Method and apparatus for coupling an antenna to a device
US10170840B2 (en) 2015-07-14 2019-01-01 At&T Intellectual Property I, L.P. Apparatus and methods for sending or receiving electromagnetic signals
US10205655B2 (en) 2015-07-14 2019-02-12 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array and multiple communication paths
US10341142B2 (en) 2015-07-14 2019-07-02 At&T Intellectual Property I, L.P. Apparatus and methods for generating non-interfering electromagnetic waves on an uninsulated conductor
US10044409B2 (en) 2015-07-14 2018-08-07 At&T Intellectual Property I, L.P. Transmission medium and methods for use therewith
US9836957B2 (en) 2015-07-14 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for communicating with premises equipment
US9722318B2 (en) 2015-07-14 2017-08-01 At&T Intellectual Property I, L.P. Method and apparatus for coupling an antenna to a device
US9882257B2 (en) 2015-07-14 2018-01-30 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US10148016B2 (en) 2015-07-14 2018-12-04 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array
US10033108B2 (en) 2015-07-14 2018-07-24 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave having a wave mode that mitigates interference
US9628116B2 (en) 2015-07-14 2017-04-18 At&T Intellectual Property I, L.P. Apparatus and methods for transmitting wireless signals
US9847566B2 (en) 2015-07-14 2017-12-19 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a field of a signal to mitigate interference
US10090606B2 (en) 2015-07-15 2018-10-02 At&T Intellectual Property I, L.P. Antenna system with dielectric array and methods for use therewith
US9608740B2 (en) 2015-07-15 2017-03-28 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US9793951B2 (en) 2015-07-15 2017-10-17 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US9749053B2 (en) 2015-07-23 2017-08-29 At&T Intellectual Property I, L.P. Node device, repeater and methods for use therewith
US9912027B2 (en) 2015-07-23 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for exchanging communication signals
US9948333B2 (en) 2015-07-23 2018-04-17 At&T Intellectual Property I, L.P. Method and apparatus for wireless communications to mitigate interference
US9871283B2 (en) 2015-07-23 2018-01-16 At&T Intellectual Property I, Lp Transmission medium having a dielectric core comprised of plural members connected by a ball and socket configuration
US10784670B2 (en) 2015-07-23 2020-09-22 At&T Intellectual Property I, L.P. Antenna support for aligning an antenna
US9735833B2 (en) 2015-07-31 2017-08-15 At&T Intellectual Property I, L.P. Method and apparatus for communications management in a neighborhood network
US10020587B2 (en) 2015-07-31 2018-07-10 At&T Intellectual Property I, L.P. Radial antenna and methods for use therewith
US9967173B2 (en) 2015-07-31 2018-05-08 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
JP6480291B2 (ja) * 2015-08-28 2019-03-06 株式会社日立製作所 通信装置、送信装置及び受信装置
US9904535B2 (en) 2015-09-14 2018-02-27 At&T Intellectual Property I, L.P. Method and apparatus for distributing software
US10009063B2 (en) 2015-09-16 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an out-of-band reference signal
US10009901B2 (en) 2015-09-16 2018-06-26 At&T Intellectual Property I, L.P. Method, apparatus, and computer-readable storage medium for managing utilization of wireless resources between base stations
US10079661B2 (en) 2015-09-16 2018-09-18 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having a clock reference
US10136434B2 (en) 2015-09-16 2018-11-20 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an ultra-wideband control channel
US10051629B2 (en) 2015-09-16 2018-08-14 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an in-band reference signal
US9705571B2 (en) 2015-09-16 2017-07-11 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system
US9769128B2 (en) 2015-09-28 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for encryption of communications over a network
US9729197B2 (en) 2015-10-01 2017-08-08 At&T Intellectual Property I, L.P. Method and apparatus for communicating network management traffic over a network
US10074890B2 (en) 2015-10-02 2018-09-11 At&T Intellectual Property I, L.P. Communication device and antenna with integrated light assembly
US9876264B2 (en) 2015-10-02 2018-01-23 At&T Intellectual Property I, Lp Communication system, guided wave switch and methods for use therewith
US9882277B2 (en) 2015-10-02 2018-01-30 At&T Intellectual Property I, Lp Communication device and antenna assembly with actuated gimbal mount
US10665942B2 (en) 2015-10-16 2020-05-26 At&T Intellectual Property I, L.P. Method and apparatus for adjusting wireless communications
US10051483B2 (en) 2015-10-16 2018-08-14 At&T Intellectual Property I, L.P. Method and apparatus for directing wireless signals
US10355367B2 (en) 2015-10-16 2019-07-16 At&T Intellectual Property I, L.P. Antenna structure for exchanging wireless signals
US10084754B2 (en) 2015-12-11 2018-09-25 Microsoft Technology Licensing, Llc Virtual private network aggregation
US10044626B2 (en) 2015-12-24 2018-08-07 Intel Corporation Reliable out-of order end-to-end protocol with robust window state overflow management and a multi-node system using same
US9912419B1 (en) 2016-08-24 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for managing a fault in a distributed antenna system
US9860075B1 (en) 2016-08-26 2018-01-02 At&T Intellectual Property I, L.P. Method and communication node for broadband distribution
US10291311B2 (en) 2016-09-09 2019-05-14 At&T Intellectual Property I, L.P. Method and apparatus for mitigating a fault in a distributed antenna system
US11032819B2 (en) 2016-09-15 2021-06-08 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having a control channel reference signal
US10135147B2 (en) 2016-10-18 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via an antenna
US10340600B2 (en) 2016-10-18 2019-07-02 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via plural waveguide systems
US10135146B2 (en) 2016-10-18 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via circuits
US9876605B1 (en) 2016-10-21 2018-01-23 At&T Intellectual Property I, L.P. Launcher and coupling system to support desired guided wave mode
US10374316B2 (en) 2016-10-21 2019-08-06 At&T Intellectual Property I, L.P. System and dielectric antenna with non-uniform dielectric
US10811767B2 (en) 2016-10-21 2020-10-20 At&T Intellectual Property I, L.P. System and dielectric antenna with convex dielectric radome
US9991580B2 (en) 2016-10-21 2018-06-05 At&T Intellectual Property I, L.P. Launcher and coupling system for guided wave mode cancellation
US10312567B2 (en) 2016-10-26 2019-06-04 At&T Intellectual Property I, L.P. Launcher with planar strip antenna and methods for use therewith
US10291334B2 (en) 2016-11-03 2019-05-14 At&T Intellectual Property I, L.P. System for detecting a fault in a communication system
US10498044B2 (en) 2016-11-03 2019-12-03 At&T Intellectual Property I, L.P. Apparatus for configuring a surface of an antenna
US10224634B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Methods and apparatus for adjusting an operational characteristic of an antenna
US10225025B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Method and apparatus for detecting a fault in a communication system
US10340601B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Multi-antenna system and methods for use therewith
US10178445B2 (en) 2016-11-23 2019-01-08 At&T Intellectual Property I, L.P. Methods, devices, and systems for load balancing between a plurality of waveguides
US10090594B2 (en) 2016-11-23 2018-10-02 At&T Intellectual Property I, L.P. Antenna system having structural configurations for assembly
US10340603B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Antenna system having shielded structural configurations for assembly
US10535928B2 (en) 2016-11-23 2020-01-14 At&T Intellectual Property I, L.P. Antenna system and methods for use therewith
US10305190B2 (en) 2016-12-01 2019-05-28 At&T Intellectual Property I, L.P. Reflecting dielectric antenna system and methods for use therewith
US10361489B2 (en) 2016-12-01 2019-07-23 At&T Intellectual Property I, L.P. Dielectric dish antenna system and methods for use therewith
US10020844B2 (en) 2016-12-06 2018-07-10 T&T Intellectual Property I, L.P. Method and apparatus for broadcast communication via guided waves
US10755542B2 (en) 2016-12-06 2020-08-25 At&T Intellectual Property I, L.P. Method and apparatus for surveillance via guided wave communication
US9927517B1 (en) 2016-12-06 2018-03-27 At&T Intellectual Property I, L.P. Apparatus and methods for sensing rainfall
US10727599B2 (en) 2016-12-06 2020-07-28 At&T Intellectual Property I, L.P. Launcher with slot antenna and methods for use therewith
US10326494B2 (en) 2016-12-06 2019-06-18 At&T Intellectual Property I, L.P. Apparatus for measurement de-embedding and methods for use therewith
US10637149B2 (en) 2016-12-06 2020-04-28 At&T Intellectual Property I, L.P. Injection molded dielectric antenna and methods for use therewith
US10382976B2 (en) 2016-12-06 2019-08-13 At&T Intellectual Property I, L.P. Method and apparatus for managing wireless communications based on communication paths and network device positions
US10694379B2 (en) 2016-12-06 2020-06-23 At&T Intellectual Property I, L.P. Waveguide system with device-based authentication and methods for use therewith
US10439675B2 (en) 2016-12-06 2019-10-08 At&T Intellectual Property I, L.P. Method and apparatus for repeating guided wave communication signals
US10819035B2 (en) 2016-12-06 2020-10-27 At&T Intellectual Property I, L.P. Launcher with helical antenna and methods for use therewith
US10135145B2 (en) 2016-12-06 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave along a transmission medium
US10547348B2 (en) 2016-12-07 2020-01-28 At&T Intellectual Property I, L.P. Method and apparatus for switching transmission mediums in a communication system
US10359749B2 (en) 2016-12-07 2019-07-23 At&T Intellectual Property I, L.P. Method and apparatus for utilities management via guided wave communication
US9893795B1 (en) 2016-12-07 2018-02-13 At&T Intellectual Property I, Lp Method and repeater for broadband distribution
US10243270B2 (en) 2016-12-07 2019-03-26 At&T Intellectual Property I, L.P. Beam adaptive multi-feed dielectric antenna system and methods for use therewith
US10389029B2 (en) 2016-12-07 2019-08-20 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system with core selection and methods for use therewith
US10168695B2 (en) 2016-12-07 2019-01-01 At&T Intellectual Property I, L.P. Method and apparatus for controlling an unmanned aircraft
US10027397B2 (en) 2016-12-07 2018-07-17 At&T Intellectual Property I, L.P. Distributed antenna system and methods for use therewith
US10446936B2 (en) 2016-12-07 2019-10-15 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system and methods for use therewith
US10139820B2 (en) 2016-12-07 2018-11-27 At&T Intellectual Property I, L.P. Method and apparatus for deploying equipment of a communication system
US10411356B2 (en) 2016-12-08 2019-09-10 At&T Intellectual Property I, L.P. Apparatus and methods for selectively targeting communication devices with an antenna array
US10530505B2 (en) 2016-12-08 2020-01-07 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves along a transmission medium
US10389037B2 (en) 2016-12-08 2019-08-20 At&T Intellectual Property I, L.P. Apparatus and methods for selecting sections of an antenna array and use therewith
US10916969B2 (en) 2016-12-08 2021-02-09 At&T Intellectual Property I, L.P. Method and apparatus for providing power using an inductive coupling
US10103422B2 (en) 2016-12-08 2018-10-16 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10601494B2 (en) 2016-12-08 2020-03-24 At&T Intellectual Property I, L.P. Dual-band communication device and method for use therewith
US10777873B2 (en) 2016-12-08 2020-09-15 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10069535B2 (en) 2016-12-08 2018-09-04 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves having a certain electric field structure
US10938108B2 (en) 2016-12-08 2021-03-02 At&T Intellectual Property I, L.P. Frequency selective multi-feed dielectric antenna system and methods for use therewith
US9911020B1 (en) 2016-12-08 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for tracking via a radio frequency identification device
US10326689B2 (en) 2016-12-08 2019-06-18 At&T Intellectual Property I, L.P. Method and system for providing alternative communication paths
US9998870B1 (en) 2016-12-08 2018-06-12 At&T Intellectual Property I, L.P. Method and apparatus for proximity sensing
US9838896B1 (en) 2016-12-09 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for assessing network coverage
US10340983B2 (en) 2016-12-09 2019-07-02 At&T Intellectual Property I, L.P. Method and apparatus for surveying remote sites via guided wave communications
US10264586B2 (en) 2016-12-09 2019-04-16 At&T Mobility Ii Llc Cloud-based packet controller and methods for use therewith
JP6593354B2 (ja) * 2017-01-16 2019-10-23 株式会社デンソー 衝突回避装置
US9973940B1 (en) 2017-02-27 2018-05-15 At&T Intellectual Property I, L.P. Apparatus and methods for dynamic impedance matching of a guided wave launcher
US10298293B2 (en) 2017-03-13 2019-05-21 At&T Intellectual Property I, L.P. Apparatus of communication utilizing wireless network devices
US11172016B2 (en) 2017-03-30 2021-11-09 Intel Corporation Device, method and system to enforce concurrency limits of a target node within a network fabric
US10496508B2 (en) 2017-06-02 2019-12-03 Apple Inc. Accessory communication control
FR3072238B1 (fr) * 2017-10-10 2019-09-27 Commissariat A L'energie Atomique Et Aux Energies Alternatives Dispositif et procede de transmission de donnees
RU2666306C1 (ru) * 2017-12-27 2018-09-06 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") Способ управления связностью одноранговой межмашинной сети передачи данных
DE102018203949A1 (de) * 2018-03-15 2019-09-19 Bayerische Motoren Werke Aktiengesellschaft Verfahren und Vorrichtungen zum Senden und Identifizieren von Funkkennungen
GB201807835D0 (en) * 2018-05-15 2018-06-27 Nchain Holdings Ltd Computer-implemented system and method
US10595073B2 (en) 2018-06-03 2020-03-17 Apple Inc. Techniques for authorizing controller devices
US11805009B2 (en) 2018-06-03 2023-10-31 Apple Inc. Configuring accessory network connections
SG11202100218QA (en) 2018-07-10 2021-02-25 Listat Ltd Decentralized cybersecure privacy network for cloud communication and global e-commerce
US10841078B2 (en) 2018-07-26 2020-11-17 International Business Machines Corporation Encryption key block generation with barrier descriptors
US11139985B2 (en) * 2018-12-04 2021-10-05 Journey.ai Receiving information through a zero-knowledge data management network
JP7218003B2 (ja) 2019-01-31 2023-02-06 コネクトフリー株式会社 データ送信方法、通信処理方法、装置、および通信処理プログラム
US11683298B2 (en) * 2019-02-27 2023-06-20 Kobil Gmbh Secure messaging
US11263333B2 (en) 2019-04-25 2022-03-01 International Business Machines Corporation Multi-subject device access authorization
US11570100B2 (en) * 2019-04-25 2023-01-31 Advanced New Technologies Co., Ltd. Data processing method, apparatus, medium and device
CN113748648A (zh) 2019-05-23 2021-12-03 慧与发展有限责任合伙企业 权重路由
US20210037045A1 (en) * 2019-07-31 2021-02-04 Abb Schweiz Ag System and method for cyber-secure communications
US11223956B2 (en) * 2019-09-27 2022-01-11 Apple Inc. Dynamic data sequence puncturing
CN111291078B (zh) * 2020-01-17 2021-02-02 武汉思普崚技术有限公司 一种域名匹配检测方法及装置
CN113542197A (zh) 2020-04-17 2021-10-22 西安西电捷通无线网络通信股份有限公司 一种节点间保密通信方法及网络节点
US10972436B1 (en) * 2020-10-24 2021-04-06 360 It, Uab System and method for session affinity in proxy media routing
EP4245022A1 (en) * 2020-11-12 2023-09-20 Telefonaktiebolaget LM Ericsson (publ) Obscured device identity in wireless transmissions
CN112615866B (zh) * 2020-12-22 2022-07-05 南京易安联网络技术有限公司 Tcp连接的预认证方法、装置和系统
CN117354078B (zh) * 2023-12-06 2024-02-09 深圳市千岩科技有限公司 智能家电群控控制与响应方法及其装置、设备、介质

Family Cites Families (321)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2895502A (en) * 1955-10-20 1959-07-21 Manning Maxwell & Moore Inc Automatic process control system
US4405829A (en) 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
EP0150688B1 (en) 1983-12-28 1987-04-22 Sigma-Tau Industrie Farmaceutiche Riunite S.p.A. Salts of l-carnitine and alkanoyl l-carnitines and process for preparing same
US4761334A (en) 1984-09-21 1988-08-02 Kabushiki Kaisha Toshiba Magnetic recording medium
US4677434A (en) * 1984-10-17 1987-06-30 Lotus Information Network Corp. Access control system for transmitting data from a central station to a plurality of receiving stations and method therefor
US4885778A (en) 1984-11-30 1989-12-05 Weiss Kenneth P Method and apparatus for synchronizing generation of separate, free running, time dependent equipment
JPS62195949A (ja) * 1986-02-24 1987-08-29 Nec Corp パケツト転送方法
JPS62214744A (ja) * 1986-03-17 1987-09-21 Hitachi Ltd パケツト伝送方式
JPS62268225A (ja) * 1986-05-16 1987-11-20 Yanmar Diesel Engine Co Ltd デ−タ伝送システム
DE3775924D1 (de) 1987-04-22 1992-02-20 Ibm Verwaltung von geheimuebertragungsschluesseln.
US4933846A (en) 1987-04-24 1990-06-12 Network Systems Corporation Network communications adapter with dual interleaved memory banks servicing multiple processors
US4988990A (en) * 1989-05-09 1991-01-29 Rosemount Inc. Dual master implied token communication system
US5007051A (en) 1987-09-30 1991-04-09 Hewlett-Packard Company Link layer protocol and apparatus for data communication
US4920484A (en) * 1988-10-05 1990-04-24 Yale University Multiprocessor/memory interconnection network wherein messages sent through the network to the same memory are combined
US4952930A (en) 1988-11-18 1990-08-28 International Business Machines Corp. Multipath hierarchical network
US5048087A (en) 1989-02-03 1991-09-10 Racal Data Communications Inc. Key management for encrypted packet based networks
US5412730A (en) 1989-10-06 1995-05-02 Telequip Corporation Encrypted data transmission system employing means for randomly altering the encryption keys
NL9000424A (nl) * 1990-02-22 1991-09-16 Philips Nv Overdrachtsysteem voor gedigitaliseerde televisiebeelden.
US5204961A (en) 1990-06-25 1993-04-20 Digital Equipment Corporation Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols
US5070528A (en) 1990-06-29 1991-12-03 Digital Equipment Corporation Generic encryption technique for communication networks
JP2870163B2 (ja) 1990-09-07 1999-03-10 松下電器産業株式会社 認証機能付き鍵配送方式
US5367643A (en) 1991-02-06 1994-11-22 International Business Machines Corporation Generic high bandwidth adapter having data packet memory configured in three level hierarchy for temporary storage of variable length data packets
JPH04363941A (ja) * 1991-02-18 1992-12-16 Nippon Telegr & Teleph Corp <Ntt> 非同期転送モード通信における盗聴防止方法
US5654695A (en) * 1991-02-22 1997-08-05 International Business Machines Corporation Multi-function network
JPH04117826U (ja) 1991-04-05 1992-10-21 沖電気工業株式会社 トレー搬送装置
DE4119573A1 (de) * 1991-06-14 1992-12-17 Standard Elektrik Lorenz Ag Verfahren zur ermittlung einer temporaeren nummer (tmsi) in einer teilnehmerdatenbank fuer einen teilnehmer
US5164988A (en) 1991-10-31 1992-11-17 International Business Machines Corporation Method to establish and enforce a network cryptographic security policy in a public key cryptosystem
US5286047A (en) * 1991-11-21 1994-02-15 Kho Dick T Retainer for a suitcase wheel assembly
US5455861A (en) 1991-12-09 1995-10-03 At&T Corp. Secure telecommunications
US5243749A (en) * 1992-01-24 1993-09-14 Shultz William E Transmission pump removal tool
US5276735A (en) * 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
GB9209027D0 (en) 1992-04-25 1992-06-17 British Aerospace Multi purpose digital signal regenerative processing apparatus
US5329821A (en) * 1992-05-08 1994-07-19 Nusonics, Inc. Autoranging sonic flowmeter
US5311593A (en) * 1992-05-13 1994-05-10 Chipcom Corporation Security system for a network concentrator
US5303302A (en) 1992-06-18 1994-04-12 Digital Equipment Corporation Network packet receiver with buffer logic for reassembling interleaved data packets
US5349642A (en) * 1992-11-03 1994-09-20 Novell, Inc. Method and apparatus for authentication of client server communication
JP3232711B2 (ja) 1992-11-10 2001-11-26 松下電器産業株式会社 ルータ中継装置
US5329521A (en) * 1992-11-12 1994-07-12 Walsh Jeffrey R Method and apparatus for redundant local area network systems
US5341426A (en) * 1992-12-15 1994-08-23 Motorola, Inc. Cryptographic key management apparatus and method
US5444782A (en) 1993-03-09 1995-08-22 Uunet Technologies, Inc. Computer network encryption/decryption device
JPH06266670A (ja) 1993-03-11 1994-09-22 Fujitsu Ltd 暗号化仮想端末初期化装置
WO1994028486A1 (en) * 1993-05-21 1994-12-08 Candle Distributed Solutions, Inc. Method of selecting a server object to service a client object request within a network environment
CA2433607A1 (en) * 1993-07-28 1995-02-09 3Com Corporation Multifunction network station with network addresses for functional units
US5559883A (en) * 1993-08-19 1996-09-24 Chipcom Corporation Method and apparatus for secure data packet bus communication
US5689641A (en) 1993-10-01 1997-11-18 Vicor, Inc. Multimedia collaboration system arrangement for routing compressed AV signal through a participant site without decompressing the AV signal
US5581479A (en) 1993-10-15 1996-12-03 Image Telecommunications Corp. Information service control point, which uses different types of storage devices, which retrieves information as blocks of data, and which uses a trunk processor for transmitting information
US5420926A (en) 1994-01-05 1995-05-30 At&T Corp. Anonymous credit card transactions
US5787172A (en) * 1994-02-24 1998-07-28 The Merdan Group, Inc. Apparatus and method for establishing a cryptographic link between elements of a system
JP3186917B2 (ja) * 1994-03-25 2001-07-11 株式会社日立製作所 ローカルエリアネットワーク及びその送信順位自動決定方法
JPH07297817A (ja) 1994-04-27 1995-11-10 Sekisui Chem Co Ltd データ伝送方式
US5473692A (en) * 1994-09-07 1995-12-05 Intel Corporation Roving software license for a hardware agent
US5530758A (en) 1994-06-03 1996-06-25 Motorola, Inc. Operational methods for a secure node in a computer network
US5511122A (en) * 1994-06-03 1996-04-23 The United States Of America As Represented By The Secretary Of The Navy Intermediate network authentication
JPH09510596A (ja) * 1994-06-08 1997-10-21 エイチイー・ホールディングス・インコーポレーテッド・ディー ビーエー・ヒューズ・エレクトロニクス ハイブリッドネットワークアクセスのための装置および方法
US5588060A (en) 1994-06-10 1996-12-24 Sun Microsystems, Inc. Method and apparatus for a key-management scheme for internet protocols
US5416842A (en) 1994-06-10 1995-05-16 Sun Microsystems, Inc. Method and apparatus for key-management scheme for use with internet protocols at site firewalls
US5682480A (en) 1994-08-15 1997-10-28 Hitachi, Ltd. Parallel computer system for performing barrier synchronization by transferring the synchronization packet through a path which bypasses the packet buffer in response to an interrupt
US5548646A (en) 1994-09-15 1996-08-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
US5561669A (en) 1994-10-26 1996-10-01 Cisco Systems, Inc. Computer network switching system with expandable number of ports
US5623601A (en) 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5629984A (en) 1995-03-10 1997-05-13 Sun Microsystems, Inc. System and method for data security
US5802320A (en) 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
JPH0918473A (ja) 1995-06-29 1997-01-17 Mitsubishi Electric Corp データ伝送装置
JP3196999B2 (ja) * 1995-06-30 2001-08-06 日本電信電話株式会社 Atm通信網および加入者交換機
JPH0934816A (ja) 1995-07-21 1997-02-07 Toshiba Corp 大規模ipネットワーク
WO1997011542A2 (de) * 1995-09-22 1997-03-27 Siemens Aktiengesellschaft Verfahren und schaltungsanordnung zur verarbeitung von nutzdaten
JP2988569B2 (ja) * 1995-09-25 1999-12-13 ノーリツ鋼機株式会社 フィルム収納体回収装置
US6108704A (en) 1995-09-25 2000-08-22 Netspeak Corporation Point-to-point internet protocol
US5689566A (en) 1995-10-24 1997-11-18 Nguyen; Minhtam C. Network with secure communications sessions
US5793763A (en) * 1995-11-03 1998-08-11 Cisco Technology, Inc. Security system for network address translation systems
US5764906A (en) * 1995-11-07 1998-06-09 Netword Llc Universal electronic resource denotation, request and delivery system
US5771239A (en) * 1995-11-17 1998-06-23 General Instrument Corporation Of Delaware Method and apparatus for modifying a transport packet stream to provide concatenated synchronization bytes at interleaver output
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
US6571338B1 (en) * 1995-12-20 2003-05-27 Sun Microsystems Inc. Maintaining packet security in a computer network
US5812670A (en) 1995-12-28 1998-09-22 Micali; Silvio Traceable anonymous transactions
US5838794A (en) * 1996-01-11 1998-11-17 Teledyne Electronic Technologies Method and apparatus for inter-round mixing in iterated block substitution systems
US6055518A (en) 1996-02-01 2000-04-25 At&T Corporation Secure auction systems
US5781550A (en) 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5898830A (en) 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5918018A (en) * 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
US5845091A (en) * 1996-02-15 1998-12-01 Bay Networks, Inc. Forwarding of internetwork packets to a destination network via a selected one of a plurality of paths
US5740375A (en) * 1996-02-15 1998-04-14 Bay Networks, Inc. Forwarding internetwork packets by replacing the destination address
JPH09266475A (ja) 1996-03-28 1997-10-07 Hitachi Ltd アドレス情報管理装置およびネットワークシステム
JPH09270803A (ja) 1996-04-02 1997-10-14 Furukawa Electric Co Ltd:The 仮想ネットワーク構築方法
JP3268546B2 (ja) 1996-04-05 2002-03-25 日本電信電話株式会社 アドレス解決処理方法
ES2214516T3 (es) 1996-04-17 2004-09-16 Siemens Aktiengesellschaft Instalacion de control en la red inteligente.
US5790548A (en) * 1996-04-18 1998-08-04 Bell Atlantic Network Services, Inc. Universal access multimedia data network
US6225993B1 (en) 1996-04-22 2001-05-01 Sun Microsystems, Inc. Video on demand applet method and apparatus for inclusion of motion video in multimedia documents
US5940393A (en) 1996-05-28 1999-08-17 Sprint Communications Co. L.P. Telecommunications system with a connection processing system
US5918013A (en) * 1996-06-03 1999-06-29 Webtv Networks, Inc. Method of transcoding documents in a network environment using a proxy server
US5889863A (en) 1996-06-17 1999-03-30 Verifone, Inc. System, method and article of manufacture for remote virtual point of sale processing utilizing a multichannel, extensible, flexible architecture
US6178409B1 (en) * 1996-06-17 2001-01-23 Verifone, Inc. System, method and article of manufacture for multiple-entry point virtual point of sale architecture
US5842040A (en) 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
US5822434A (en) 1996-06-19 1998-10-13 Sun Microsystems, Inc. Scheme to allow two computers on a network to upgrade from a non-secured to a secured session
US6058250A (en) 1996-06-19 2000-05-02 At&T Corp Bifurcated transaction system in which nonsensitive information is exchanged using a public network connection and sensitive information is exchanged after automatically configuring a private network connection
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US5870610A (en) * 1996-06-28 1999-02-09 Siemens Business Communication Systems, Inc. Autoconfigurable method and system having automated downloading
US5867650A (en) * 1996-07-10 1999-02-02 Microsoft Corporation Out-of-band data transmission
US6754212B1 (en) 1996-07-12 2004-06-22 Hitachi, Ltd. Repeater and network system utililzing the same
JPH1032610A (ja) 1996-07-12 1998-02-03 Nec Corp 移動データ通信における仮想私設網の構成方法
US6111883A (en) 1996-07-12 2000-08-29 Hitachi, Ltd. Repeater and network system utilizing the same
JP3587633B2 (ja) 1996-10-18 2004-11-10 株式会社日立製作所 ネットワーク通信方法および装置
US5805820A (en) 1996-07-15 1998-09-08 At&T Corp. Method and apparatus for restricting access to private information in domain name systems by redirecting query requests
EP1012737A1 (en) * 1996-07-21 2000-06-28 Ernestine, LLC World wide web bar code access system
US5757925A (en) * 1996-07-23 1998-05-26 Faybishenko; Yaroslav Secure platform independent cross-platform remote execution computer system and method
US5918019A (en) * 1996-07-29 1999-06-29 Cisco Technology, Inc. Virtual dial-up protocol for network communication
US5774660A (en) * 1996-08-05 1998-06-30 Resonate, Inc. World-wide-web server with delayed resource-binding for resource-based load balancing on a distributed resource multi-node network
JPH1070531A (ja) * 1996-08-26 1998-03-10 Brother Ind Ltd データ通信システムおよび受信装置
US6016504A (en) 1996-08-28 2000-01-18 Infospace.Com, Inc. Method and system for tracking the purchase of a product and services over the Internet
JP3662080B2 (ja) 1996-08-29 2005-06-22 Kddi株式会社 ファイアウォール動的制御方法
US5884270A (en) 1996-09-06 1999-03-16 Walker Asset Management Limited Partnership Method and system for facilitating an employment search incorporating user-controlled anonymous communications
US7764231B1 (en) 1996-09-09 2010-07-27 Tracbeam Llc Wireless location using multiple mobile station location techniques
US5892903A (en) 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US6003084A (en) 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
JP3537018B2 (ja) * 1996-09-17 2004-06-14 株式会社日立製作所 データ伝送方法および情報システム
GB2317539B (en) 1996-09-18 2001-03-28 Secure Computing Corp Generalized security policy management system and method
US5864535A (en) * 1996-09-18 1999-01-26 International Business Machines Corporation Network server having dynamic load balancing of messages in both inbound and outbound directions
US5950195A (en) 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
EP0836306B1 (en) * 1996-10-10 2012-07-04 Hewlett-Packard Company (a Delaware Corporation) System providing for multiple virtual circuits between two network entities
US6101543A (en) 1996-10-25 2000-08-08 Digital Equipment Corporation Pseudo network adapter for frame capture, encapsulation and encryption
US5960204A (en) 1996-10-28 1999-09-28 J.D. Edwards World Source Company System and method for installing applications on a computer on an as needed basis
JPH10145354A (ja) * 1996-11-14 1998-05-29 Nippon Telegr & Teleph Corp <Ntt> 機能遠隔変更方法
US6499108B1 (en) 1996-11-19 2002-12-24 R. Brent Johnson Secure electronic mail system
US5796942A (en) 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US6546003B1 (en) 1996-11-21 2003-04-08 Verizon Services Corp. Telecommunications system
KR100474259B1 (ko) 1996-11-26 2005-06-20 볼보 컨스트럭션 이키프먼트 홀딩 스웨덴 에이비 건설기계의작업장치용실린더를위한유압장치
JP4190599B2 (ja) 1996-11-27 2008-12-03 ソニー株式会社 情報伝送装置及び情報伝送方法並びに情報受信装置及び情報受信方法
JP3433413B2 (ja) * 1996-12-04 2003-08-04 富士ゼロックス株式会社 ユーザ認証装置および方法
US6012088A (en) 1996-12-10 2000-01-04 International Business Machines Corporation Automatic configuration for internet access device
US6011579A (en) 1996-12-10 2000-01-04 Motorola, Inc. Apparatus, method and system for wireline audio and video conferencing and telephony, with network interactivity
US5915087A (en) 1996-12-12 1999-06-22 Secure Computing Corporation Transparent security proxy for unreliable message exchange protocols
US6032118A (en) 1996-12-19 2000-02-29 Northern Telecom Limited Virtual private network service provider for asynchronous transfer mode network
US6182141B1 (en) 1996-12-20 2001-01-30 Intel Corporation Transparent proxy server
US5864666A (en) * 1996-12-23 1999-01-26 International Business Machines Corporation Web-based administration of IP tunneling on internet firewalls
US6052718A (en) * 1997-01-07 2000-04-18 Sightpath, Inc Replica routing
US5805801A (en) 1997-01-09 1998-09-08 International Business Machines Corporation System and method for detecting and preventing security
US5905859A (en) 1997-01-09 1999-05-18 International Business Machines Corporation Managed network device security method and apparatus
US6324267B1 (en) 1997-01-17 2001-11-27 Scientific-Atlanta, Inc. Two-tiered authorization and authentication for a cable data delivery system
US6061346A (en) * 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
US5961593A (en) 1997-01-22 1999-10-05 Lucent Technologies, Inc. System and method for providing anonymous personalized browsing by a proxy system in a network
US6055575A (en) 1997-01-28 2000-04-25 Ascend Communications, Inc. Virtual private network system and method
JP3603524B2 (ja) 1997-02-05 2004-12-22 株式会社日立製作所 ネットワーキング方法
TW360829B (en) * 1997-02-10 1999-06-11 Siemens Ag Auditory active communication-subscriber, communication-method and communication system with auditory active communication-subscriber
JP3514279B2 (ja) 1997-02-21 2004-03-31 日本電信電話株式会社 相手選択型アドレス解決方法及びその装置
US6105027A (en) 1997-03-10 2000-08-15 Internet Dynamics, Inc. Techniques for eliminating redundant access checking by access filters
US6408336B1 (en) 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US6178505B1 (en) 1997-03-10 2001-01-23 Internet Dynamics, Inc. Secure delivery of information in a network
DE69838095T2 (de) 1997-03-12 2008-04-03 Nomadix, Inc., Westlake Village Nomadic Translator
FR2761843B1 (fr) 1997-03-12 2002-05-03 Mannesmann Ag Procede d'exploitation de reseaux virtuels prives dans un reseau commun de commutation de paquets de donnees et dispositif pour la mise en oeuvre de ce procede
US5946313A (en) * 1997-03-20 1999-08-31 Northern Telecom Limited Mechanism for multiplexing ATM AAL5 virtual circuits over ethernet
US6182072B1 (en) 1997-03-26 2001-01-30 Webtv Networks, Inc. Method and apparatus for generating a tour of world wide web sites
JPH10268762A (ja) * 1997-03-27 1998-10-09 Hitachi Software Eng Co Ltd 暗号鍵配送方法
US5996016A (en) * 1997-04-15 1999-11-30 International Business Machines Corporation Reinitiation of bind calls for IP applications concurrently executing with alternate address
JP3258593B2 (ja) * 1997-04-16 2002-02-18 日本電信電話株式会社 パケット処理方法および装置
US5884038A (en) 1997-05-02 1999-03-16 Whowhere? Inc. Method for providing an Internet protocol address with a domain name server
US5805803A (en) * 1997-05-13 1998-09-08 Digital Equipment Corporation Secure web tunnel
TW338865B (en) 1997-06-03 1998-08-21 Philips Eloctronics N V Authentication system
JPH1173398A (ja) 1997-06-03 1999-03-16 Toshiba Corp 分散ネットワークコンピューティングシステム、同システムに用いられる情報交換装置、同システムに用いられるセキュリティ機能を有する情報交換方法、この方法を格納したコンピュータ読取り可能な記憶媒体
US6173399B1 (en) * 1997-06-12 2001-01-09 Vpnet Technologies, Inc. Apparatus for implementing virtual private networks
US6226748B1 (en) * 1997-06-12 2001-05-01 Vpnet Technologies, Inc. Architecture for virtual private networks
SE9702385L (sv) 1997-06-23 1998-12-24 Ericsson Telefon Ab L M Förfarande och anordning i ett datanät
US6119234A (en) 1997-06-27 2000-09-12 Sun Microsystems, Inc. Method and apparatus for client-host communication over a computer network
US5870744A (en) 1997-06-30 1999-02-09 Intel Corporation Virtual people networking
JP3233071B2 (ja) * 1997-07-02 2001-11-26 日本電気株式会社 マネージャ・エージェント間同期装置及びマネージャ・エージェント間同期方法並びにマネージャ・エージェント間同期制御プログラムを記録した記録媒体
US6151628A (en) 1997-07-03 2000-11-21 3Com Corporation Network access methods, including direct wireless to internet access
US6012100A (en) 1997-07-14 2000-01-04 Freegate Corporation System and method of configuring a remotely managed secure network interface
DE69836545T2 (de) 1997-07-24 2007-05-16 Tumbleweed Communications Corp., Redwood City Firewall für elektronische post mit verschlüsselung/entschlüsselung mittels gespeicherter schlüssel
US6092200A (en) * 1997-08-01 2000-07-18 Novell, Inc. Method and apparatus for providing a virtual private network
JP3565686B2 (ja) 1997-08-01 2004-09-15 東京エレクトロンデバイス株式会社 コンピュータの記憶装置及び変換システム
US20020002675A1 (en) * 1997-08-06 2002-01-03 Ronald Roscoe Bush Secure encryption of data packets for transmission over unsecured networks
US6560634B1 (en) 1997-08-15 2003-05-06 Verisign, Inc. Method of determining unavailability of an internet domain name
JPH1168735A (ja) * 1997-08-20 1999-03-09 Oki Data:Kk 通信データの保護方法と送信機および受信機
US6061796A (en) 1997-08-26 2000-05-09 V-One Corporation Multi-access virtual private network
US6324161B1 (en) * 1997-08-27 2001-11-27 Alcatel Usa Sourcing, L.P. Multiple network configuration with local and remote network redundancy by dual media redirect
WO1999014931A2 (en) 1997-09-16 1999-03-25 Transnexus, Llc Internet telephony call routing engine
US6490620B1 (en) * 1997-09-26 2002-12-03 Worldcom, Inc. Integrated proxy interface for web based broadband telecommunications management
US7225249B1 (en) 1997-09-26 2007-05-29 Mci, Llc Integrated systems for providing communications network management services and interactive generating invoice documents
US6246670B1 (en) * 1997-10-16 2001-06-12 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for preventing misrouting of data in a radio communication system
US6023764A (en) 1997-10-20 2000-02-08 International Business Machines Corporation Method and apparatus for providing security certificate management for Java Applets
US5974454A (en) 1997-11-14 1999-10-26 Microsoft Corporation Method and system for installing and updating program module components
US6167449A (en) 1997-11-19 2000-12-26 Apple Computer, Inc. System and method for identifying and locating services on multiple heterogeneous networks using a query by type
US6016512A (en) * 1997-11-20 2000-01-18 Telcordia Technologies, Inc. Enhanced domain name service using a most frequently used domain names table and a validity code table
US6070245A (en) 1997-11-25 2000-05-30 International Business Machines Corporation Application interface method and system for encryption control
US6023510A (en) 1997-12-24 2000-02-08 Philips Electronics North America Corporation Method of secure anonymous query by electronic messages transported via a public network and method of response
FI105753B (fi) 1997-12-31 2000-09-29 Ssh Comm Security Oy Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa
US6157957A (en) 1998-01-22 2000-12-05 Cisco Technology, Inc. Clock synchronization system and method using a continuous conversion function for a communication network
US6148342A (en) 1998-01-27 2000-11-14 Ho; Andrew P. Secure database management system for confidential records using separately encrypted identifier and access request
US6079020A (en) 1998-01-27 2000-06-20 Vpnet Technologies, Inc. Method and apparatus for managing a virtual private network
US6119171A (en) 1998-01-29 2000-09-12 Ip Dynamics, Inc. Domain name routing
US6205448B1 (en) 1998-01-30 2001-03-20 3Com Corporation Method and apparatus of synchronizing two computer systems supporting multiple synchronization techniques
US6065049A (en) 1998-02-04 2000-05-16 3Com Corporation Method and system for resolving addresses for network host interfaces from a cable modem
CA2228687A1 (en) 1998-02-04 1999-08-04 Brett Howard Secured virtual private networks
GB2334181B (en) 1998-02-06 2003-02-19 Nec Technologies Over-the-air re-programming of radio transceivers
US6175622B1 (en) 1998-02-10 2001-01-16 Northern Telecom Limited Virtual private network for a telephone network
US6006272A (en) * 1998-02-23 1999-12-21 Lucent Technologies Inc. Method for network address translation
US6055236A (en) 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
US6353614B1 (en) 1998-03-05 2002-03-05 3Com Corporation Method and protocol for distributed network address translation
US6055574A (en) * 1998-03-10 2000-04-25 Unisys Corporation Method of providing a service through a server with a virtual single network address
JPH11261704A (ja) 1998-03-12 1999-09-24 Fujitsu Ltd 仮想ネットワークの接続方法およびゲートウェイ交換機
US6061736A (en) * 1998-03-13 2000-05-09 3Com Corporation Routing over similar paths
US6738814B1 (en) 1998-03-18 2004-05-18 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network
US6175867B1 (en) * 1998-03-23 2001-01-16 Mci World Com, Inc. System and method for managing networks addressed via common network addresses
US6262987B1 (en) * 1998-03-26 2001-07-17 Compaq Computer Corp System and method for reducing latencies while translating internet host name-address bindings
US6233618B1 (en) * 1998-03-31 2001-05-15 Content Advisor, Inc. Access control of networked data
US6366912B1 (en) 1998-04-06 2002-04-02 Microsoft Corporation Network security zones
US6345361B1 (en) 1998-04-06 2002-02-05 Microsoft Corporation Directional set operations for permission based security in a computer system
US6226751B1 (en) * 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US6154839A (en) 1998-04-23 2000-11-28 Vpnet Technologies, Inc. Translating packet addresses based upon a user identifier
US6073175A (en) 1998-04-27 2000-06-06 International Business Machines Corporation Method for supporting different service levels in a network using web page content information
US6801509B1 (en) 1998-05-08 2004-10-05 Lucent Technologies Inc. Mobile point-to-point protocol
US6496491B2 (en) 1998-05-08 2002-12-17 Lucent Technologies Inc. Mobile point-to-point protocol
US6449272B1 (en) 1998-05-08 2002-09-10 Lucent Technologies Inc. Multi-hop point-to-point protocol
US6813777B1 (en) 1998-05-26 2004-11-02 Rockwell Collins Transaction dispatcher for a passenger entertainment system, method and article of manufacture
US6189102B1 (en) 1998-05-27 2001-02-13 3Com Corporation Method for authentication of network devices in a data-over cable system
US6590588B2 (en) 1998-05-29 2003-07-08 Palm, Inc. Wireless, radio-frequency communications using a handheld computer
US6314463B1 (en) 1998-05-29 2001-11-06 Webspective Software, Inc. Method and system for measuring queue length and delay
US6557037B1 (en) 1998-05-29 2003-04-29 Sun Microsystems System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses
US6308274B1 (en) * 1998-06-12 2001-10-23 Microsoft Corporation Least privilege via restricted tokens
US6182227B1 (en) 1998-06-22 2001-01-30 International Business Machines Corporation Lightweight authentication system and method for validating a server access request
US6256671B1 (en) * 1998-06-24 2001-07-03 Nortel Networks Limited Method and apparatus for providing network access control using a domain name system
US6829242B2 (en) 1998-06-30 2004-12-07 Cisco Technology, Inc. Method and apparatus for associating PVC identifiers with domain names of home gateways
US6263445B1 (en) * 1998-06-30 2001-07-17 Emc Corporation Method and apparatus for authenticating connections to a storage system coupled to a network
US6269099B1 (en) 1998-07-01 2001-07-31 3Com Corporation Protocol and method for peer network device discovery
US6202081B1 (en) * 1998-07-21 2001-03-13 3Com Corporation Method and protocol for synchronized transfer-window based firewall traversal
US6223287B1 (en) 1998-07-24 2001-04-24 International Business Machines Corporation Method for establishing a secured communication channel over the internet
US6751729B1 (en) 1998-07-24 2004-06-15 Spatial Adventures, Inc. Automated operation and security system for virtual private networks
US6760766B1 (en) * 1998-08-21 2004-07-06 Per Sahlqvist Data transmission method and device
US6421732B1 (en) 1998-08-27 2002-07-16 Ip Dynamics, Inc. Ipnet gateway
US6717949B1 (en) * 1998-08-31 2004-04-06 International Business Machines Corporation System and method for IP network address translation using selective masquerade
US6430610B1 (en) * 1998-09-02 2002-08-06 Steeleye Technology, Inc. TCP/IP address protection mechanism in a clustered server environment
EP1110361A2 (en) 1998-09-09 2001-06-27 Sun Microsystems, Inc. Method and apparatus for transparently processing dns traffic
US6286047B1 (en) 1998-09-10 2001-09-04 Hewlett-Packard Company Method and system for automatic discovery of network services
US6434600B2 (en) 1998-09-15 2002-08-13 Microsoft Corporation Methods and systems for securely delivering electronic mail to hosts having dynamic IP addresses
CA2345241A1 (en) * 1998-09-22 2000-03-30 Science Applications International Corporation User-defined dynamic collaborative environments
US6199112B1 (en) * 1998-09-23 2001-03-06 Crossroads Systems, Inc. System and method for resolving fibre channel device addresses on a network using the device's fully qualified domain name
DE19845331A1 (de) 1998-10-01 2000-04-06 Siemens Ag Verfahren und Vorrichtung zur Verkehrswegebestimmung in einem Kommunikations- oder Datennetz oder einem Netz aus Kommunikations- und Datennetz
US6243749B1 (en) 1998-10-08 2001-06-05 Cisco Technology, Inc. Dynamic network address updating
US6487663B1 (en) 1998-10-19 2002-11-26 Realnetworks, Inc. System and method for regulating the transmission of media data
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
ES2760905T3 (es) * 1998-10-30 2020-05-18 Virnetx Inc Un protocolo de red agile para comunicaciones seguras con disponibilidad asegurada de sistema
US7418504B2 (en) 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US6826616B2 (en) 1998-10-30 2004-11-30 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network
US6430176B1 (en) 1998-11-06 2002-08-06 Nortel Networks Limited Multimedia channel management through PSTN signaling
US6168409B1 (en) * 1998-11-13 2001-01-02 Rosaldo Fare Apparatus for making two component fibers or continuous filaments using flexible tube inserts
US6006259A (en) 1998-11-20 1999-12-21 Network Alchemy, Inc. Method and apparatus for an internet protocol (IP) network clustering system
US6430155B1 (en) * 1998-11-30 2002-08-06 Cisco Technology, Inc. Congestion avoidance on communications networks
US6332158B1 (en) 1998-12-03 2001-12-18 Chris Risley Domain name system lookup allowing intelligent correction of searches and presentation of auxiliary information
US6930998B1 (en) 1998-12-07 2005-08-16 Nortel Networks Limited Hybrid TDM and ATM voice switching central office and method of completing inter-office calls using same
US6367009B1 (en) 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
US6490290B1 (en) 1998-12-30 2002-12-03 Cisco Technology, Inc. Default internet traffic and transparent passthrough
US6298383B1 (en) 1999-01-04 2001-10-02 Cisco Technology, Inc. Integration of authentication authorization and accounting service and proxy service
US6243754B1 (en) * 1999-01-08 2001-06-05 International Business Machines Corporation Dynamic selection of network providers
US7307990B2 (en) 1999-01-19 2007-12-11 Cisco Technology, Inc. Shared communications network employing virtual-private-network identifiers
US6425003B1 (en) * 1999-01-22 2002-07-23 Cisco Technology, Inc. Method and apparatus for DNS resolution
US6330562B1 (en) 1999-01-29 2001-12-11 International Business Machines Corporation System and method for managing security objects
US6615357B1 (en) 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US7028182B1 (en) 1999-02-19 2006-04-11 Nexsys Electronics, Inc. Secure network system and method for transfer of medical information
US6937597B1 (en) * 1999-02-26 2005-08-30 Lucent Technologies Inc. Signaling method for internet telephony
US6581166B1 (en) * 1999-03-02 2003-06-17 The Foxboro Company Network fault detection and recovery
US6081900A (en) 1999-03-16 2000-06-27 Novell, Inc. Secure intranet access
US7461334B1 (en) 1999-03-19 2008-12-02 Network Solutions, Llc Apparatus and method for web forwarding
US7167904B1 (en) * 1999-03-19 2007-01-23 Network Solutions, Llc Unified web-based interface-to multiple registrar systems
US6338082B1 (en) * 1999-03-22 2002-01-08 Eric Schneider Method, product, and apparatus for requesting a network resource
JP3170491B2 (ja) 1999-03-29 2001-05-28 松下電送システム株式会社 画像通信装置及びサーバ装置並びに能力交換方法
US7249377B1 (en) 1999-03-31 2007-07-24 International Business Machines Corporation Method for client delegation of security to a proxy
US6591306B1 (en) 1999-04-01 2003-07-08 Nec Corporation IP network access for portable devices
US6757740B1 (en) * 1999-05-03 2004-06-29 Digital Envoy, Inc. Systems and methods for determining collecting and using geographic locations of internet users
US6687823B1 (en) 1999-05-05 2004-02-03 Sun Microsystems, Inc. Cryptographic authorization with prioritized and weighted authentication
US6564261B1 (en) 1999-05-10 2003-05-13 Telefonaktiebolaget Lm Ericsson (Publ) Distributed system to intelligently establish sessions between anonymous users over various networks
EP1226499B1 (en) 1999-05-17 2005-02-09 Invicta Networks, Inc. Method and system for protecting a communication device from intrusion
US7275113B1 (en) 1999-05-27 2007-09-25 3 Com Corporation Dynamic network address configuration system and method
US6636505B1 (en) 1999-05-28 2003-10-21 3Com Corporation Method for service provisioning a broadband modem
US6179102B1 (en) * 1999-06-17 2001-01-30 Twyna Weber Travel organizer
US20010049741A1 (en) 1999-06-18 2001-12-06 Bryan D. Skene Method and system for balancing load distribution on a wide area network
US6959184B1 (en) 1999-06-30 2005-10-25 Lucent Technologies Inc. Method for determining the security status of transmissions in a telecommunications network
US6549516B1 (en) * 1999-07-02 2003-04-15 Cisco Technology, Inc. Sending instructions from a service manager to forwarding agents on a need to know basis
US7065784B2 (en) 1999-07-26 2006-06-20 Microsoft Corporation Systems and methods for integrating access control with a namespace
US6453034B1 (en) 1999-07-29 2002-09-17 Mci Worldcom, Inc. Method of and system for extending internet telephony over virtual private network direct access lines
US7100195B1 (en) 1999-07-30 2006-08-29 Accenture Llp Managing user information on an e-commerce system
US6449657B2 (en) 1999-08-06 2002-09-10 Namezero.Com, Inc. Internet hosting system
US6496867B1 (en) 1999-08-27 2002-12-17 3Com Corporation System and method to negotiate private network addresses for initiating tunneling associations through private and/or public networks
US6687746B1 (en) * 1999-08-30 2004-02-03 Ideaflood, Inc. System apparatus and method for hosting and assigning domain names on a wide area network
AU7088700A (en) 1999-08-31 2001-03-26 Science Applications International Corporation System and method for interconnecting multiple virtual private networks
US7072964B1 (en) * 1999-08-31 2006-07-04 Science Applications International Corporation System and method for interconnecting multiple virtual private networks
US6606660B1 (en) 1999-08-31 2003-08-12 Accenture Llp Stream-based communication in a communication services patterns environment
US6298341B1 (en) 1999-09-22 2001-10-02 Raredomains.Com, Llc System and method for generating domain names and for facilitating registration and transfer of the same
US6834271B1 (en) 1999-09-24 2004-12-21 Kryptosima Apparatus for and method of secure ATM debit card and credit card payment transactions via the internet
US6693878B1 (en) 1999-10-15 2004-02-17 Cisco Technology, Inc. Technique and apparatus for using node ID as virtual private network (VPN) identifiers
US7039713B1 (en) * 1999-11-09 2006-05-02 Microsoft Corporation System and method of user authentication for network communication through a policy agent
US6643701B1 (en) 1999-11-17 2003-11-04 Sun Microsystems, Inc. Method and apparatus for providing secure communication with a relay in a network
SE517217C2 (sv) 1999-12-29 2002-05-07 Ericsson Telefon Ab L M Metod och system för kommunikation mellan olika nätverk
US7103770B2 (en) 2000-01-27 2006-09-05 Web Data Solutions, Inc. Point-to-point data streaming using a mediator node for administration and security
US7188175B1 (en) * 2000-04-06 2007-03-06 Web.Com, Inc. Method and system for communicating between clients in a computer network
US6978364B1 (en) 2000-04-12 2005-12-20 Microsoft Corporation VPN enrollment protocol gateway
US7076651B2 (en) * 2000-05-01 2006-07-11 Safenet, Inc. System and method for highly secure data communications
US7197563B2 (en) * 2001-05-31 2007-03-27 Invicta Networks, Inc. Systems and methods for distributed network protection
US6353514B1 (en) * 2000-06-19 2002-03-05 Imation Corp. Two-sided compliant tape guide
US6333272B1 (en) 2000-10-06 2001-12-25 Lam Research Corporation Gas distribution apparatus for semiconductor processing
US6714970B1 (en) * 2000-10-26 2004-03-30 International Business Machines Corporation Protecting open world wide web sites from known malicious users by diverting requests from malicious users to alias addresses for the protected sites
CN100339846C (zh) 2000-11-01 2007-09-26 斯雷普内姆斯·Com公司 对域名数据的状态变化进行实时监测并即时注册的系统及方法
US20030005132A1 (en) 2001-05-16 2003-01-02 Nortel Networks Limited Distributed service creation and distribution
JP4209688B2 (ja) * 2001-05-24 2009-01-14 セレリティ・インコーポレーテッド 決定された比率のプロセス流体を供給する方法および装置
JP4010830B2 (ja) 2002-03-05 2007-11-21 富士通株式会社 通信装置およびネットワークシステム
US6986036B2 (en) 2002-03-20 2006-01-10 Microsoft Corporation System and method for protecting privacy and anonymity of parties of network communications
US7209559B2 (en) 2002-04-29 2007-04-24 The Boeing Company Method and apparatus for securely distributing large digital video/data files with optimum security
US20040199608A1 (en) 2003-04-04 2004-10-07 Rechterman Barbara J. Method for gathering domain name registration information from a registrant via a Registrar's web site
US20040199520A1 (en) 2003-04-04 2004-10-07 Parsons Advanced Holdings, Inc. Method for checking the availability of a domain name
US20040199620A1 (en) 2003-04-04 2004-10-07 Tim Ruiz Method for transfering a registered domain name from a first registrar to a second registrar
US20040199493A1 (en) 2003-04-04 2004-10-07 Tim Ruiz Method for registering a stream of domain names received via a registrar's web site
CN100454200C (zh) * 2003-06-09 2009-01-21 喜开理株式会社 相对压力控制系统和相对流量控制系统
US7584500B2 (en) 2003-11-19 2009-09-01 Hughes Network Systems, Llc Pre-fetching secure content using proxy architecture
TW200527870A (en) 2004-01-14 2005-08-16 Nec Corp Encrypted communication method, encrypted communication system, node device and program
US7502923B2 (en) 2004-09-16 2009-03-10 Nokia Corporation Systems and methods for secured domain name system use based on pre-existing trust
US7797413B2 (en) 2004-10-29 2010-09-14 The Go Daddy Group, Inc. Digital identity registration
US20070266141A1 (en) 2005-04-19 2007-11-15 Norton Michael A Processing taxonomic extensions on the world wide web to implement an integrity-rich intelligence apparatus
US7493403B2 (en) * 2006-03-13 2009-02-17 Markmonitor Inc. Domain name ownership validation
US7852861B2 (en) 2006-12-14 2010-12-14 Array Networks, Inc. Dynamic system and method for virtual private network (VPN) application level content routing using dual-proxy method
US8646067B2 (en) 2008-01-26 2014-02-04 Citrix Systems, Inc. Policy driven fine grain URL encoding mechanism for SSL VPN clientless access
CN101984778B (zh) 2008-01-26 2014-08-13 思杰系统有限公司 用于细粒度策略驱动的cookie代理的系统和方法
WO2009094654A1 (en) 2008-01-26 2009-07-30 Citrix Systems, Inc. Systems and methods for configuration and fine grain policy driven web content detection and rewrite
US20090199258A1 (en) 2008-02-05 2009-08-06 Yu-Hsiung Deng Method of setting mapping between channel number and program number

Also Published As

Publication number Publication date
JP2002529779A (ja) 2002-09-10
EP1125419A2 (en) 2001-08-22
US20130091354A1 (en) 2013-04-11
ATE441275T1 (de) 2009-09-15
CA2723504C (en) 2014-04-29
WO2000027090A2 (en) 2000-05-11
US20110238993A1 (en) 2011-09-29
EP1125414A2 (en) 2001-08-22
AU1600300A (en) 2000-05-22
WO2000027090A9 (en) 2001-07-05
JP4451566B2 (ja) 2010-04-14
EP2290904A1 (en) 2011-03-02
ATE492973T1 (de) 2011-01-15
CA2349520A1 (en) 2000-05-11
CA2349519C (en) 2011-08-09
ES2760905T3 (es) 2020-05-18
EP1125414B1 (en) 2010-12-22
JP2002529965A (ja) 2002-09-10
JP4824108B2 (ja) 2011-11-30
JP2010063126A (ja) 2010-03-18
US20110191582A1 (en) 2011-08-04
US7133930B2 (en) 2006-11-07
EP2290904B1 (en) 2016-04-20
EP3086533A1 (en) 2016-10-26
WO2000027086A2 (en) 2000-05-11
CA2349520C (en) 2011-05-17
JP5198617B2 (ja) 2013-05-15
US20080034201A1 (en) 2008-02-07
US20110307693A1 (en) 2011-12-15
CA2723504A1 (en) 2000-05-11
JP2014090494A (ja) 2014-05-15
US20060123134A1 (en) 2006-06-08
US20130219174A1 (en) 2013-08-22
WO2000027086A3 (en) 2000-10-05
JP2011193477A (ja) 2011-09-29
WO2000027090A3 (en) 2000-10-12
AU761388B2 (en) 2003-06-05
DE69943057D1 (de) 2011-02-03
US20040003116A1 (en) 2004-01-01
EP1125419B1 (en) 2009-08-26
US7996539B2 (en) 2011-08-09
AU1455300A (en) 2000-05-22
EP3086533B1 (en) 2019-09-11
US8874771B2 (en) 2014-10-28
US9479426B2 (en) 2016-10-25
JP5685326B2 (ja) 2015-03-18
DE69941338D1 (de) 2009-10-08
US20130067222A1 (en) 2013-03-14
CA2349519A1 (en) 2000-05-11
JP2011223574A (ja) 2011-11-04
US7010604B1 (en) 2006-03-07
AU765914B2 (en) 2003-10-02

Similar Documents

Publication Publication Date Title
JP5685326B2 (ja) 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
JP3923312B2 (ja) システム可用性が保証された安全な通信を可能にするアジル・ネットワーク・プロトコルの改良
JP5478697B2 (ja) 保証されたシステム可用性を有する安全通信用のアジル・ネットワーク・プロトコルの改良
US20180115529A1 (en) Agile protocol for secure communications with assured system availability
JP5374535B2 (ja) 保証されたシステム可用性を有する安全通信用のアジル・ネットワーク・プロトコルの改良

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150116

R150 Certificate of patent or registration of utility model

Ref document number: 5685326

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term