JP4829982B2 - ピアツーピア通信の検出及び制御 - Google Patents
ピアツーピア通信の検出及び制御 Download PDFInfo
- Publication number
- JP4829982B2 JP4829982B2 JP2008556902A JP2008556902A JP4829982B2 JP 4829982 B2 JP4829982 B2 JP 4829982B2 JP 2008556902 A JP2008556902 A JP 2008556902A JP 2008556902 A JP2008556902 A JP 2008556902A JP 4829982 B2 JP4829982 B2 JP 4829982B2
- Authority
- JP
- Japan
- Prior art keywords
- peer
- client machine
- internal
- communication
- analyzer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2567—NAT traversal for reachability, e.g. inquiring the address of a correspondent behind a NAT server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、データ通信ネットワーク上のピアツーピア(peer-to-peer)通信を検出することに係り、さらに詳細に説明すれば、イントラネット/インターネット境界にまたがってピアツーピア通信を検出することに係る。
インターネットは、複数の相互接続データ・ネットワークから形成された広域データ通信ネットワークである。動作中、インターネットは、遠隔に位置する種々のデータ処理システム間のデータ通信を促進する。一般に、インターネットに接続されたエンド・ユーザのデータ処理システムは、クライアント・データ処理システム又はクライアントと呼ばれる。同様に、インターネットを介したエンド・ユーザによるアクセス用のウェブ・サイト及びサービスをホストするデータ処理システムは、サーバ・データ処理システム又はサーバと呼ばれる。エンド・ユーザのデータ処理システムとホスティング・データ処理システムの間には、インターネットを介して完成されるクライアント−サーバ関係が存在する。
インターネットは、消費者、小売り業者及びサービス・プロバイダ相互間の電子商取引を促進するための重要な通信ネットワークになった。一般に、インターネットへのアクセスは、インターネット・サービス・プロバイダ(ISP)のようなエンティティを介して提供される。一般に、各ISPは、クライアントが加入するオープン・ネットワークを稼働させる。各クライアントは、ネットワーク上で一意的なインターネット・プロトコル(IP)アドレスを有する。同様に、ネットワーク上の各サーバは、一意的なIPアドレスを有する。ISPによって稼働されるネットワークは、一般にルータと呼ばれる専用のデータ処理システムを介して、インターネットに接続される。動作中、ルータは、インターネットからの着信通信トラヒックを、ネットワーク上の指定されたIPアドレスに転送する。同様に、ルータは、ネットワークからの発信通信トラヒックを、インターネット上の指定されたIPアドレスの方向に転送する。
「ピアツーピア」という用語は ネットワーク内のクライアント(ピア)が互いに直接的に通信セッションを確立することを可能にする、広汎なカテゴリのアプリケーション及びプロトコルを意味する。対照的に、クライアント−サーバ・アプリケーションは、クライアントが既知のサーバとだけ通信することを想定する。従って、ピアツーピア・アプリケーションの特徴は、役割の対称性である。クライアント−サーバ・アーキテクチャでは、サーバへの通信を開始することができるのはクライアントだけである。これに対し、ピアツーピア・アーキテクチャでは、任意のピアが通信を開始することができる。
ピアツーピア・アプリケーションの例は、「KaZaA」及び「BitTorrent」のようなファイル共有アプリケーションである。これらのアプリケーションは、資源を見つけるための機構及びピア・アドレス解決のための機構を含み、当該機構は、実際のファイル転送が行われる前に使用される。これらのアプリケーションは、特定の機能(例えば、初期化)についてはサーバに依存するが、最終的にはピアツーピア通信を使用して資源の発見及びデータ転送の両方を行う。他のタイプのピアツーピア・アプリケーションは、例えば、RTP(リアル・タイム・トランスポート・プロトコル)を使用する、対話型ゲーム又はテレビ会議を含む。
クライアント−サーバ・アプリケーションにおける役割の非対称性は、インターネット・アプリケーションの大多数に該当し、ネットワークが設計される方法に多くの意味を有していた。例えば、イントラネットを安全にするために使用されるファイアウォールは、通信が内部的に(すなわち、イントラネット内で)開始される場合は、外部サーバに接続を試みているのがクライアントであると仮定して、比較的寛容であるのが普通である。同様に、イントラネットを安全にするために使用されるファイアウォールは、例外が存在するサーバに向けられるものを除き、外部的に開始された全てのトラフィックを阻止するのが普通である。ネットワーク・アドレス変換機構(NAT)は、一のイントラネット内の複数のクライアント間で一の外部IPアドレスを共有するために使用される。NATは、ファイアウォールと同様の原理に従うことができる。すなわち、内部アドレスを有する一の内部クライアントと外部アドレスを有する一の外部クライアントの間のマッピングを確立するためには、イントラネット内で通信が開始されねばならないということである。かかるアーキテクチャの結果として、イントラネット/インターネット境界にまたがってピアツーピア通信を検出することは、簡単ではない。外部クライアントによって開始されるピアツーピア通信を許可するように特定の規則及びポート・マッピングを構成することは可能であるが、かかるピアツーピア通信は、ファイアウォール及びNATによって阻止されることがあるからである。
最近になってホーム・ユーザ用のブロードバンド・インターネット接続が普及した結果、ミドルボックスが住宅等で使用されることが多くなってきた。ミドルボックスとは、通常、ファイアウォール及びNATの機能を組み合わせたものである。ピアがミドルボックスの背後に存在する場合、そのプライベート・アドレスは、パブリック・アドレスにマップされる。ピアツーピア・ソフトウェアの開発者は、ユーザによるミドルボックスの手動構成を必要とすることなく、ミドルボックスを超えてデータ通信チャネルを確立するための技術を考案した。一般に、かかるデータ通信チャネルを確立するための第1のステップは、ピアツーピア通信のために使用すべきトランスポート・アドレスを決定することであり、第2のステップは、ミドルボックスを超えることである。
当分野では、周知のサーバへの初期接続に依存することにより、前記第1のステップを実行することが公知である。ピアは、例えば、インスタント・メッセージ用サーバ内のエイリアス(別名)のような識別子を使用することにより、互いに他のピアを見つけることができる。その後、ピアツーピア通信を確立することを望んでいる2つのピアは、周知のサーバに接続し、それらの現在のトランスポート・アドレスを送信する。サーバの応答は、他のピアのアドレス情報を保持する。一般に、この交換におけるアドレス情報は、プライベート及びパブリック・アドレスの両方を含む。プライベート・アドレスが含まれているのは、幾つかのNATが「ループバック変換」を提供しないので、両方のピアが同じアドレス空間に存在している場合に、ピアツーピア通信を確立することができるようにするためである。
一般に、前記第2のステップは、B. Ford, P. Srisuresh and D. Kegel, "Peer-to-Peer communication across Network Address Translators," USENIX Annual TechnicalConference, April 10-15, 2005 に記載の 「UDP hole punching」技術等を使用して実行される。「UDP hole punching」技術は、次のように実施される。すなわち、第1のピア及び第2のピアが、一のセッション開始UDPパケットを互いに他のピアに「同時に」送信する場合、これらのピアは、一の応答パケットを受信するまで、セッション開始UDPパケットの送信を継続する。この送信は、プライベート及びパブリック・アドレスの両方を使用して行われる。もし、これらの2つのピアが同じアドレス空間内に位置すれば、前記プライベート・アドレスに送信された前記セッション開始UDPパケットが直ちに受理され、一の応答パケットが送信されるので、これらのピアは、当該アプリケーションに特有のプロトコルに従って通信を開始することができる。もし、第1のピアがミドルボックスの背後に位置すれば、第2のピアにより第1のピアのプライベート・アドレスに送信されたセッション開始UDPパケットは、無意味である(恐らく経路指定すらされない)。しかし、第1のピアが送信したセッション開始UDPパケットの宛先アドレスは、第2のピアのパブリック・アドレスに設定されているので、ミドルボックスは、第2のピアからの着信パケットが、内部的に開始されたピアツーピア通信の一部であると仮定する。従って、第2のピアにより第1のピアのパブリック・アドレスに送信されたセッション開始UDPパケットが受理される。留意すべきは、最初のセッション開始UDPパケットが到着するときに、当該エンドポイントがまだオープンされていない状況に対処するために、セッション開始UDPパケットが再送される、ということである。同じプロセスが第2のピアについても生じる。
前述の「UDP hole punching」技術は、異なる呼び出しのためにポート・バインディングを再使用するNATと、外部ピアにパケットを送信するために使用された一のUDPエンドポイントを当該外部ピアのパケットを受信するようにオープンするNAT/ファイアウォールとについてのみ機能する。
留意すべきは、「UDP hole punching」技術は、ミドルボックスの種々の振る舞いに起因して、必ずしも成功するとは限らない、ということである。但し、多くの状況において、「UDP hole punching」技術は、第1のピア及び第2のピアがミドルボックスの背後に存在する場合であっても、ピアツーピア・セッションを確立することを可能にする。
企業ネットワークにおけるピアツーピア・アプリケーションの不適切な使用は、幾つかの否定的な結果に帰着するという点で問題である。第1に、これらのアプリケーションが導入する新しいトラフィック・パターンは、企業ネットワークの資源の性能及び可用性に影響を及ぼすことがある。特に、これらは、法的リスク及び潜在的な機密漏れを表す。前者は、ファイル共有に関連する可能な著作権侵害の請求に起因し、後者は、誤って構成されるか又は悪意のあるピアツーピア・ソフトウェアにより機密情報が不注意で開示されるという危険に加えて、共有ファイルに含まれていたウィルスの可能な導入に起因する。
この問題に取り組むための公知のアプローチは、ネットワーク境界においてトラフィック統計を分析することに基づいており、一般に、周知のピアツーピアUDP及びTCP(トランスポート層プロトコル)ポートを使用することに依存する。しかし、ピアツーピア・ネットワークの動的な性質や、ファイアウォールのような制御機構を超えるためのますます高度化した技術に起因して、これらのアプローチは、ピアツーピア・ソフトウェアを正確に検出及び制御することができない。
B. Ford, P. Srisuresh and D. Kegel, "Peer-to-Peer communication across Network Address Translators," USENIX Annual TechnicalConference, April 10-15, 2005
B. Ford, P. Srisuresh and D. Kegel, "Peer-to-Peer communication across Network Address Translators," USENIX Annual TechnicalConference, April 10-15, 2005
本発明の目的は、イントラネット/インターネット境界にまたがってピアツーピア通信を検出し且つこれを制御するためのシステムを提供することにある。本発明の他の目的は、ローカル問題のローカル報告を提供することにある。さらに、前記検出は、内部ピア及び外部ピアに対して透明な態様で実現することができる。
本発明の第1の側面に従って、データ通信ネットワーク上のピアツーピア通信を、内部アドレス空間内の内部クライアント・マシンと外部クライアント・マシンの間で検出するための方法が提供される。この方法は、外部クライアント・マシンから内部クライアント・マシンにアドレスされる全てのメッセージを、分析装置に経路指定するステップと、指定された性質のメッセージを識別するステップと、前記指定された性質のメッセージがアドレスされた前記内部クライアント・マシンを識別するステップを含む。「指定された性質」という用語は、当該メッセージが、特定のプロパティを有すること又は予定のタイプであることを意味する。「内部」という用語は、イントラネット内のエンティティを意味し、「外部」という用語は、イントラネットの外部にあるエンティティを意味する。
前記指定された性質のメッセージは、前記内部クライアント・マシンと前記外部クライアント・マシンの間のピアツーピア通信の確立に関係する。
前記指定された性質のメッセージを識別するステップ及び前記内部クライアント・マシンを識別するステップは、前記内部アドレス空間の外部に位置する前記分析装置によって実行される。さらに、前記内部クライアント・マシンの前記アドレス空間が前記分析装置に経路指定され、そして前記分析装置により、前記外部クライアント・マシンとの交換がスプーフされる。
さらに、本発明の前記第1の側面は、前記ピアツーピア通信の確立が予定の内部ネットワーク規則に違反する場合は、前記外部クライアント・マシンとの接続を終了することを要する。
本発明の第2の側面に従って、データ通信ネットワーク上のピアツーピア通信を、内部アドレス空間内の内部クライアント・マシンと外部クライアント・マシンの間で検出するための装置が提供される。この装置は、外部クライアント・マシンから内部クライアント・マシンにアドレスされる全てのメッセージを、分析装置に経路指定するためのルータを備える。前記分析装置は、指定された性質のメッセージを識別するためのプロトコル・ハンドラと、前記指定された性質のメッセージがアドレスされた前記内部クライアント・マシンを識別するための分析コンポーネントを含む。
前記分析装置は、前記ピアツーピア通信が前記識別された内部クライアント・マシンのために許容されるか否かを決定し且つ前記ピアツーピア通信が予定の内部ネットワーク規則に違反する場合は前記外部クライアント・マシンとの接続を終了するためのポリシ・データベースをさらに含む。
本発明の第3の側面に従って、コンピュータ・プログラム・コード手段を含むコンピュータ・プログラム要素が提供される。前記コンピュータ・プログラム要素は、データ処理システム内のプロセッサにロードされるとき、外部クライアント・マシンから内部クライアント・マシンにアドレスされる全てのメッセージを、分析装置に経路指定するステップと、指定された性質のメッセージを識別するステップと、前記指定された性質のメッセージがアドレスされた前記内部クライアント・マシンを識別するステップとを含む方法を実行するように前記プロセッサを構成する。
本発明の第4の側面に従って、内部アドレス空間を有するクライアント・システムを、前記内部アドレス空間内の内部クライアント・マシンと外部クライアント・マシンの間のピアツーピア通信に対して準備する方法が提供される。この方法は、分析装置をルータに接続するステップと、外部クライアント・マシンから内部クライアント・マシンにアドレスされる全てのメッセージを、前記分析装置に経路指定するステップと、指定された性質のメッセージを識別するステップと、前記指定された性質のメッセージがアドレスされた前記内部クライアント・マシンを識別するステップとを含む。
図1を参照して説明する。図示のデータ処理システムは、中央処理装置(CPU)10と、入出力(I/O)サブシステム20と、メモリ・サブシステム40を含み、これらの全てはバス・サブシステム30によって相互接続される。メモリ・サブシステム40は、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)及びハードディスクドライブ、光ディスク・ドライブ等の1つ以上のデータ・ストレージ装置を含むことができる。入出力サブシステム20は、ディスプレイ、プリンタ、キーボード、マウスやトラックボール等のポインティング装置、データ通信ネットワークを介して当該データ処理システムと1つ以上の同様のシステム又は周辺装置の間の通信を可能にする1つ以上のネットワーク接続を含むことができる。かかるネットワークによって相互接続されたかかるシステム及び装置の組み合わせは、それ自体で分散データ処理システムを形成することができる。かかる分散データ処理システムは、追加のデータ通信ネットワークによって相互接続することができる。
メモリ・サブシステム40内には、記憶データ60と、CPU 10によって実行可能なコンピュータ・プログラム・コード50が存在する。プログラム・コード50は、オペレーティング・システム90及びアプリケーション80を含む。オペレーティング・システム90は、CPU 10によって実行されるとき、アプリケーション80をその上で実行可能なプラットフォームを提供する。
図2に示す本発明の好ましい実施形態では、IPアドレス120が割り当てられるクライアント・データ処理システム110(以下「内部ピア」又は「内部クライアント・マシン」と称する)を有する第1のデータ通信ネットワーク100と、複数のデータ処理システム150(以下「外部ピア」又は「外部クライアント・マシン」と称する)に対して割り当てるための複数のIPアドレス140を有する第2のデータ通信ネットワーク130が設けられる。第1のデータ通信ネットワーク100は、内部アドレス空間105を有する企業内のイントラネットとすることができる。第2のデータ通信ネットワーク130は、インターネット・サービス装置を有する外部ネットワークの形態を取ることができる。内部クライアント・マシン110及び外部クライアント・マシン150の各々は、図1を参照して説明したデータ処理システムとすることができる。イントラネット100及び外部ネットワーク130の各々は、少なくとも1つのルータ170及び180を介して、インターネット160にそれぞれ接続される。
ルータ170及び180は、図1を参照して説明したデータ処理システムの形態で実装することができ、適切なプログラミングにより、インターネット160と当該ルータ170及び180が接続されたイントラネット100、外部ネットワーク130の間でデータ・パケットの形式を有する通信トラヒックを、当該データ・パケット内で指定されたIPアドレス・データに基づき、経路指定するタスクに専用化されるようになっている。
第1のファイアウォール190は、イントラネット100と第1のルータ170の間に位置する。ピアツーピア通信分析装置(以下「分析装置」と称する)200は、第1のルータ170に接続される。第2のファイアウォール210は、外部ネットワーク130と第2のルータ180の間に位置する。
外部クライアント・マシン150及び内部クライアント・マシン110がピアツーピア通信を確立することを意図する場合、これらのマシンは、最初に境界外の機構、例えばサーバを介して、互いに他のマシンに接続する。この最初の接続中、外部クライアント・マシン150及び内部クライアント・マシン110は、セッション開始ピアツーピア・プロトコルにおいてアドレスを交換する。通常、外部クライアント・マシン150は、第1のファイアウォール190に起因して、内部クライアント・マシン110のIPアドレスを知ることができない。
内部ピア110のIPアドレス120は、分析装置200に対し外部的に経路指定される。このイベントのトリガは、外部ネットワーク130から(第1のファイアウォール190の現状態によって許容されない)内部クライアント・マシン110への接続の試みである。この経路指定が第1のファイアウォール190を介して生じる場合、第1のファイアウォール190は、ルータとして機能するものと見なすことができる。もっとも、この経路指定は、第1のルータ170を介して生じることもできる。代替的に、第1のルータ170は、第1のファイアウォール190と内部ピア110の間に位置することができる。
次に、外部ピア150は、インターネット160を介して、内部ピア110との直接的な接続を確立するように試みる。外部ピア150から内部ピア110への全てのメッセージは、分析装置200に経路指定されるので、この接続の試みは、第1のルータ170において分析装置200に再経路指定される。
分析装置200は、外部ピア150から受信される、「指定された性質のメッセージ」と呼ばれる通信の性質を確立するために、1つ以上の照会を提示することにより、インターネット160を介して、外部150ピアに応答する。外部ピア150は、これらの照会が、分析装置200ではなく、内部ピア110によって送信されたものと推定する。好ましくは、その通信は、種々のピアツーピア・プロトコルを実装して行うことができる。一旦これらのプロトコルが実装されると、これらのプロトコルは、当該ピアツーピア通信に関する意味論的階層(semantic layer)情報を提供する。
また、分析装置200は、イントラネット100内で通信することにより、当該ピアツーピア通信に参加することを意図していた内部ピア110を識別する。この識別プロセスにおいて、分析装置200は、セッション開始ピアツーピア・プロトコルから内部アドレス120を抽出し、これをアドレスの企業データベース又は分析装置200内に保持された動的アドレスと突き合わせる。また、企業データベースは、「予定の内部ネットワーク規則」とも呼ばれる企業ポリシを指示する。この企業ポリシは、特定の内部ピア110をカバーし、従って内部アドレス120を有する内部クライアント・マシン110がどのタイプの通信を実行する権利を有しているか、すなわち内部クライアント・マシン110がピアツーピア通信を実行することができるかを記述する。また、意味論的階層情報は、アドレス120がどのタイプの通信を実行する権利を有しているかという決定を行う際に利用することができる。
図2には、2つのデータ通信ネットワーク100及び130と、分析装置200を有するインターネット・アーキテクチャの要部が例示されている。これは例示的なアーキテクチャであり、これとは別の種々の形式のデータ通信ネットワークを提供できることは明らかであろう。
図3は、分析装置200の一層詳細な内部アーキテクチャを例示する。分析装置200は、本来であれば到達不能な1つ以上のIPアドレス120においてマシン及びサービスの存在をスプーフすることにより動作する。それらのIPアドレス120は接続すべきものではないので、これらのアドレスを宛先とするトラフィックは先験的に疑わしい。分析装置200は、試みられた接続を単に記録するのではなく、ピアツーピア通信をスプーフすることにより、当該トラフィックの背後にある意図を決定する。ピアツーピア通信のスプーフイングは、検出すべきピアツーピア通信アプリケーションごとに1つずつ設けられた、構成可能なプロトコル・ハンドラ300〜320によって行われる。
分析装置200は、制限付きログインを超えて実際のサービスを提供しない、セキュリティ強化されたマシン上に構築される。分析装置200は、複数の個別的なプロトコル・ハンドラ300〜320があたかも単一のホスト上で走っているかのように動作することを可能にする、ネットワーク仮想化インフラストラクチャ330を含む。個別的なプロトコル・ハンドラ300〜320の各々は、単一の分析コンポーネント340に接続され、当該分析コンポーネント340は、企業ポリシ・データベース350に接続される。企業ポリシ・データベース350は、着信するピアツーピア通信が特定のアドレスについて許容されるか否かを、分析コンポーネント340が企業ポリシに従って決定することを可能にする。それが許容されない場合、分析装置200は、当該接続を終了させる。
分析装置200は、1つ以上の予定のピアツーピア通信アプリケーションを検出するように構成することができる。かかるアプリケーションの例は、「BitTorrent」、「KaZaA」及び「eDonkey」を含む。予定のピアツーピア通信アプリケーションのプロトコルは、個別的なプロトコル・ハンドラ300〜320によって実装されるであろう。
図4は、分析装置200のプロセス400を示すフロー図である。プロセス400は、外部クライアント・マシン150から内部クライアント・マシン110にアドレスされる全てのメッセージを、分析装置200に経路指定するステップ410と、指定された性質のメッセージを識別するステップ420と、指定された性質のメッセージがアドレスされた内部クライアント・マシン110を識別するステップ430とを含む。
従って、本発明のシステム及び方法は、イントラネット/インターネット境界にまたがってピアツーピア通信を検出し且つこれを制御するという問題に直接的に取り組む。企業のイントラネットのすぐ近くのルータの箇所に分析装置200を配置すると、ローカルのピアツーピア通信の試みをローカルに報告することが可能となる。このシステムの他の利点は、無許可のピアツーピア通信を検出することが、内部ピア及び外部ピアに対して一層透明な態様で実現できるということにある。
一般に、本発明の方法は、コンピュータ又はこれと同様の装置を制御するための1セットのプログラム命令を含む、コンピュータ・プログラム製品として実装される。これらの命令は、システムにプリロードして、又はCD-ROMのような記憶媒体に記録して提供することができ、或いはインターネット又は携帯電話ネットワークのようなネットワークを介してダウンロードすることができる。
また、本発明のシステム及び方法は、サービスを受けるエンティティ(クライアント・システムとも称する)に対しサービスを提供する、サービス・エンティティによって実装することができる。このサービスは、本発明に従った装置又はシステムをサービスを受けるエンティティの環境内に又はその環境のためにインストールすること、及びコンピュータ可読コードをコンピューティング・システム内へ統合することにより、当該コンピュータ可読コード及びコンピューティング・システムの組み合わせが本発明に従った方法を実行することができるように、使用可能なコンピューティング・インフラストラクチャを配備又は統合することの一方又は両方とすることができる。本発明の文脈では、サービス・エンティティは、イントラネット/インターネット境界にまたがった無許可のピアツーピア通信に対してクライアント・システムを準備することができる。これにより、サービス・エンティティは、無許可のピアツーピア通信を行うことを試みる内部ピアをより効率的に検出し、さらに内部ピア及び外部ピアの接続を終了させることができる。
この側面に係る本発明の方法は、分析装置200をルータに接続するステップと、外部クライアント・マシンから内部クライアント・マシンにアドレスされる全てのメッセージを、分析装置200に経路指定するステップ410と、指定された性質のメッセージを識別するステップ420と、前記指定された性質のメッセージがアドレスされた前記内部クライアント・マシンを識別するステップ430とを含むことができる。
分析装置200は、サービス・エンティティによって所有又はリースされる装置とすることができる。サービス・エンティティは、この分析装置200をサービスを受ける複数のエンティティについて同時に使用することができ、従ってこの資源を共有することができる。このことは、ピアツーピア通信の検出性能に関して分析装置200上で実行される更新が、分析装置200に接続されたサービスを受ける全てのエンティティにその影響を及ぼすという利点を有する。
他の利点は、このサービスが、サービスを受けるエンティティに対して一層透明な態様で実現できるということである。
本発明の範囲から逸脱することなく、前述の本発明の実施形態について多くの改良及び修正を施すことができる。
10・・・CPU
50・・・コンピュータ・プログラム・コード
80・・・アプリケーション
100・・・第1のデータ通信ネットワーク(イントラネット)
105・・・内部アドレス空間
110・・・内部クライアント・マシン(内部ピア)
120・・・IPアドレス
130・・・第2のデータ通信ネットワーク(外部ネットワーク)
140・・・IPアドレス
150・・・外部クライアント・マシン(外部ピア)
160・・・インターネット
170・・・第1のルータ
180・・・第2のルータ
190・・・第1のファイアウォール
200・・・ピアツーピア通信分析装置(分析装置)
210・・・第2のファイアウォール
300〜320・・・プロトコル・ハンドラ
330・・・ネットワーク仮想化インフラストラクチャ
340・・・分析コンポーネント
350・・・企業ポリシ・データベース
50・・・コンピュータ・プログラム・コード
80・・・アプリケーション
100・・・第1のデータ通信ネットワーク(イントラネット)
105・・・内部アドレス空間
110・・・内部クライアント・マシン(内部ピア)
120・・・IPアドレス
130・・・第2のデータ通信ネットワーク(外部ネットワーク)
140・・・IPアドレス
150・・・外部クライアント・マシン(外部ピア)
160・・・インターネット
170・・・第1のルータ
180・・・第2のルータ
190・・・第1のファイアウォール
200・・・ピアツーピア通信分析装置(分析装置)
210・・・第2のファイアウォール
300〜320・・・プロトコル・ハンドラ
330・・・ネットワーク仮想化インフラストラクチャ
340・・・分析コンポーネント
350・・・企業ポリシ・データベース
Claims (2)
- データ通信ネットワーク上のピアツーピア通信を、内部アドレス空間(105)内の内部クライアント・マシン(110)と外部クライアント・マシン(150)の間で検出するための方法にして、
外部クライアント・マシンから内部クライアント・マシンにアドレスされる全てのメッセージを、分析装置(200)に経路指定するステップ(410)と、
指定された性質のメッセージを識別するステップ(420)と、
前記指定された性質のメッセージがアドレスされた前記内部クライアント・マシンを識別するステップ(430)とを含み、
前記指定された性質のメッセージが、前記内部クライアント・マシン(110)と前記外部クライアント・マシン(150)の間のピアツーピア通信の確立に関係し、
前記指定された性質のメッセージを識別するステップ(420)及び前記内部クライアント・マシンを識別するステップ(430)が、前記内部アドレス空間の外部に位置する前記分析装置(200)によって実行され、
前記内部クライアント・マシンの前記アドレス空間(120)を前記分析装置(200)に経路指定するステップと、
前記分析装置(200)により、前記外部クライアント・マシン(150)との交換をスプーフするステップと、
前記ピアツーピア通信の確立が予定の内部ネットワーク規則に違反する場合は、前記外部クライアント・マシン(150)との接続を終了するステップをさらに含む、
方法。 - データ通信ネットワーク上のピアツーピア通信を、内部アドレス空間(105)内の内部クライアント・マシン(110)と外部クライアント・マシン(150)の間で検出するための装置にして、
外部クライアント・マシンから内部クライアント・マシンにアドレスされる全てのメッセージを、分析装置(200)に経路指定するためのルータ(170)を備え、
前記分析装置(200)が、
指定された性質のメッセージを識別するためのプロトコル・ハンドラ (300〜320)と、
前記指定された性質のメッセージがアドレスされた前記内部クライアント・マシン(110)を識別するための分析コンポーネント(340)を含み、
前記指定された性質のメッセージが、前記内部クライアント・マシン(110)と前記外部クライアント・マシン(150)の間のピアツーピア通信の確立に関係し、
前記分析装置(200)が、前記内部アドレス空間(105)の外部に位置し、
ルータ(170、190)が、前記識別された内部クライアント・マシン(110)の前記アドレス空間(120)を前記分析装置(200)に経路指定し、
前記分析装置(200)が、前記外部クライアント・マシン(150)との交換をスプーフし、
前記分析装置(200)が、前記ピアツーピア通信が前記識別された内部クライアント・マシン(110)のために許容されるか否かを決定し且つ前記ピアツーピア通信が予定の内部ネットワーク規則に違反する場合は前記外部クライアント・マシン(150)との接続を終了するためのポリシ・データベース(350)をさらに含む、
装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP06004049 | 2006-02-28 | ||
| EP06004049.0 | 2006-02-28 | ||
| PCT/IB2007/050625 WO2007099497A1 (en) | 2006-02-28 | 2007-02-27 | Detection and control of peer-to-peer communication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009528757A JP2009528757A (ja) | 2009-08-06 |
| JP4829982B2 true JP4829982B2 (ja) | 2011-12-07 |
Family
ID=38235403
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008556902A Expired - Fee Related JP4829982B2 (ja) | 2006-02-28 | 2007-02-27 | ピアツーピア通信の検出及び制御 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8219679B2 (ja) |
| EP (1) | EP1994717A1 (ja) |
| JP (1) | JP4829982B2 (ja) |
| CN (1) | CN101390369B (ja) |
| WO (1) | WO2007099497A1 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2630938C (en) | 2007-09-19 | 2016-10-04 | Kevin Gerard Boyce | Method and system for dynamic protocol decoding and analysis |
| EP2071809A1 (en) * | 2007-12-13 | 2009-06-17 | Alcatel Lucent | Method of establishing a connection in a peer-to-peer network with network address translation (NAT) |
| CN102082807B (zh) * | 2009-12-01 | 2014-11-05 | 突触计算机系统(上海)有限公司 | 基于多协议的文件传输方法及装置 |
| JP5284936B2 (ja) * | 2009-12-10 | 2013-09-11 | 日本電信電話株式会社 | 通信分類装置および通信分類方法、ならびにそのためのプログラム |
| US8577355B1 (en) | 2012-05-21 | 2013-11-05 | At&T Intellectual Property I, L.P. | Intelligent long term evolution peer-to-peer management |
| US9288219B2 (en) | 2013-08-02 | 2016-03-15 | Globalfoundries Inc. | Data protection in a networked computing environment |
| CN103618960A (zh) * | 2013-11-28 | 2014-03-05 | 乐视网信息技术(北京)股份有限公司 | 一种调用tv版的方法及电子设备 |
| TWI548243B (zh) * | 2014-06-13 | 2016-09-01 | 物聯智慧科技(深圳)有限公司 | 點對點傳輸方法與網路連線裝置 |
| US10560362B2 (en) * | 2014-11-25 | 2020-02-11 | Fortinet, Inc. | Application control |
| CN106487864B (zh) * | 2015-09-02 | 2019-09-27 | 华为终端有限公司 | 数据连接的建立方法、服务端及移动终端 |
| NO20160593A1 (en) * | 2016-04-12 | 2017-10-13 | Pexip AS | Improvements in multimedia conferencing |
| US10523635B2 (en) * | 2016-06-17 | 2019-12-31 | Assured Information Security, Inc. | Filtering outbound network traffic |
| GB2605028A (en) * | 2019-10-29 | 2022-09-21 | Leapxpert Ltd | Internal message routing system and method |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10247946A (ja) * | 1997-03-03 | 1998-09-14 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク接続方式および方法ならびにネームサーバ |
| JPH11122301A (ja) * | 1997-10-20 | 1999-04-30 | Fujitsu Ltd | アドレス変換接続装置 |
| JP2005039820A (ja) * | 2003-07-14 | 2005-02-10 | Microsoft Corp | ローカル接続変換との仮想接続 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002057917A2 (en) * | 2001-01-22 | 2002-07-25 | Sun Microsystems, Inc. | Peer-to-peer network computing platform |
| DE60210408T2 (de) * | 2002-01-18 | 2006-10-19 | Stonesoft Corp. | Ueberwachung des Datenflusses zur Verbesserung des Netzwerksicherheitsschutzes |
| JP4304593B2 (ja) | 2002-11-01 | 2009-07-29 | ソニー株式会社 | 情報処理システム、情報処理装置および方法、並びにプログラム |
| US7403995B2 (en) * | 2003-01-08 | 2008-07-22 | Outhink, Inc. | Symmetrical bi-directional communication |
| WO2004063843A2 (en) * | 2003-01-15 | 2004-07-29 | Matsushita Electric Industrial Co., Ltd. | PEER-TO-PEER (P2P) CONNECTION DESPITE NETWORK ADDRESS TRANSLATOR (NATs) AT BOTH ENDS |
| CN1450758A (zh) * | 2003-05-16 | 2003-10-22 | 上海金诺网络安全技术发展股份有限公司 | 高性能网络入侵检测系统和检测方法 |
| AU2003280126A1 (en) | 2003-05-30 | 2005-01-21 | International Business Machines Corporation | Detecting network attacks |
| US7426574B2 (en) * | 2003-12-16 | 2008-09-16 | Trend Micro Incorporated | Technique for intercepting data in a peer-to-peer network |
| CN1322712C (zh) * | 2004-05-28 | 2007-06-20 | 南京邮电学院 | 一种实现诱骗网络数据流重定向的方法 |
| WO2006072949A1 (en) * | 2005-01-05 | 2006-07-13 | Yissum Research Development Company Of The Hebrew University Of Jerusalem | A method and apparatus for managing communications |
| US8576846B2 (en) * | 2005-10-05 | 2013-11-05 | Qualcomm Incorporated | Peer-to-peer communication in ad hoc wireless network |
| DE102005060410A1 (de) * | 2005-12-15 | 2007-06-21 | Phoenix Contact Gmbh & Co. Kg | Elektrische Klemme |
-
2007
- 2007-02-27 EP EP07713177A patent/EP1994717A1/en not_active Withdrawn
- 2007-02-27 JP JP2008556902A patent/JP4829982B2/ja not_active Expired - Fee Related
- 2007-02-27 US US12/280,350 patent/US8219679B2/en not_active Expired - Fee Related
- 2007-02-27 WO PCT/IB2007/050625 patent/WO2007099497A1/en active Application Filing
- 2007-02-27 CN CN200780006949.0A patent/CN101390369B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10247946A (ja) * | 1997-03-03 | 1998-09-14 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク接続方式および方法ならびにネームサーバ |
| JPH11122301A (ja) * | 1997-10-20 | 1999-04-30 | Fujitsu Ltd | アドレス変換接続装置 |
| JP2005039820A (ja) * | 2003-07-14 | 2005-02-10 | Microsoft Corp | ローカル接続変換との仮想接続 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101390369B (zh) | 2012-11-14 |
| EP1994717A1 (en) | 2008-11-26 |
| CN101390369A (zh) | 2009-03-18 |
| JP2009528757A (ja) | 2009-08-06 |
| WO2007099497A1 (en) | 2007-09-07 |
| US8219679B2 (en) | 2012-07-10 |
| US20090037583A1 (en) | 2009-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4829982B2 (ja) | ピアツーピア通信の検出及び制御 | |
| US11956338B2 (en) | Correlating packets in communications networks | |
| US9825911B1 (en) | Security policy check based on communication establishment handshake packet | |
| AU2018307756B2 (en) | Efficient SSL/TLS proxy | |
| US8590048B2 (en) | Analyzing the security of communication protocols and channels for a pass through device | |
| US7474655B2 (en) | Restricting communication service | |
| US7822970B2 (en) | Method and apparatus for regulating access to a computer via a computer network | |
| US9332068B2 (en) | Mechanisms for transparently converting client-server software agents to peer-to-peer software agents | |
| US20100281159A1 (en) | Manipulation of dhcp packets to enforce network health policies | |
| Ng et al. | A Waypoint Service Approach to Connect Heterogeneous Internet Address Spaces. | |
| US20170104630A1 (en) | System, Method, Software, and Apparatus for Computer Network Management | |
| WO2023020606A1 (zh) | 一种隐藏源站的方法、系统、装置、设备及存储介质 | |
| Lin et al. | How NAT-compatible are VoIP applications? | |
| US8023985B1 (en) | Transitioning a state of a connection in response to an indication that a wireless link to a wireless device has been lost | |
| JP2007181122A (ja) | 通信方法 | |
| FI126032B (en) | Detection of threats in communication networks | |
| Son | Middleware approaches to middlebox traversal | |
| Ocepek | Long-Term Sessions: this is why we can’t have Nice Things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110201 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110218 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110906 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110916 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140922 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |