JP6425816B2 - コンピュータ・ネットワーク・インフラストラクチャーにおいて外部コンピュータ・システムをブロック解除する方法、かかるコンピュータ・ネットワーク・インフラストラクチャーをもつ分散コンピュータ・ネットワークおよびコンピュータ・プログラム・プロダクト - Google Patents
コンピュータ・ネットワーク・インフラストラクチャーにおいて外部コンピュータ・システムをブロック解除する方法、かかるコンピュータ・ネットワーク・インフラストラクチャーをもつ分散コンピュータ・ネットワークおよびコンピュータ・プログラム・プロダクト Download PDFInfo
- Publication number
- JP6425816B2 JP6425816B2 JP2017526518A JP2017526518A JP6425816B2 JP 6425816 B2 JP6425816 B2 JP 6425816B2 JP 2017526518 A JP2017526518 A JP 2017526518A JP 2017526518 A JP2017526518 A JP 2017526518A JP 6425816 B2 JP6425816 B2 JP 6425816B2
- Authority
- JP
- Japan
- Prior art keywords
- computer system
- processing
- external
- processing computer
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
・処理コンピュータ・システムと外部コンピュータ・システムとの間の通信を、処理コンピュータ・システムのブロック解除されたネットワーク・ポートと、外部コンピュータ・システムのネットワーク・ポートであって、確立された接続を通じて処理コンピュータ・システムに(ソース・ネットワーク・ポートとして)知られているものとに制約する。この施策により、複数のコンピュータ・システムの可能性としては並列な接続確立が互いに干渉しないことを注意しておく。
・外部コンピュータ・システムによって確立された処理コンピュータ・システムの選択的にブロック解除されたネットワーク・ポートへの接続を、外部コンピュータ・システムと処理コンピュータ・システムとの間の認証情報の交換に制約する、
・外部コンピュータ・システムによって送信された認証情報を検証する、
・認証情報の検証が成功であった場合、外部コンピュータ・システムによって確立された処理コンピュータ・システムの選択的にブロック解除されたネットワーク・ポートへの接続を、前記処理コンピュータ・システムへの、またはコンピュータ・ネットワーク・インフラストラクチャー内のさらなる処理コンピュータ・システムへのさらなるアクセスのために、ブロック解除する。
・第一の乱数を外部コンピュータ・システムから仲介コンピュータ・システムに送信する、
・第二の乱数を仲介コンピュータ・システムによって生成する、
・第二の乱数を仲介コンピュータ・システムから外部コンピュータ・システムに送信する、
・第一および第二の乱数を、仲介コンピュータ・システムから処理コンピュータ・システムに送信する。
・第一および第二の乱数を外部コンピュータ・システムから直接、処理コンピュータ・システムに、確立された接続によって送信する、
・仲介コンピュータ・システムによって処理コンピュータ・システムに送信された第一および第二の乱数と、外部コンピュータ・システムによって処理コンピュータ・システムに直接送信された第一および第二の乱数との間のそれぞれの一致を、処理コンピュータ・システムにおいて検証する。
・仲介コンピュータ・システムからまたは外部コンピュータ・システムから処理コンピュータ・システムに所定のデータ・シーケンスを送る。ここで、処理コンピュータ・システムの所定のネットワーク・ポートは閉じられており、該シーケンスは、所定の順序で、処理コンピュータ・システムの一つまたは複数のネットワーク・ポートをアドレッシングする、
・送られたデータ・シーケンスが処理コンピュータ・システムにおけるあらかじめ定義されたシーケンスに一致するかどうかを検証する、
・送られたシーケンスの検証が肯定的であれば、処理コンピュータ・システムによるランダムなポート番号または他の情報の送信を引き起こし、処理コンピュータ・システム自身が仲介コンピュータ・システムへの接続を確立し、仲介コンピュータ・システムからランダムなポート番号または他の情報を取ってくる。
いくつかの態様を記載しておく。
〔態様1〕
コンピュータ・ネットワーク・インフラストラクチャー内のセキュリティ保護された処理コンピュータ・システムとの通信のために外部コンピュータ・システムをブロック解除する方法であって:
・前記コンピュータ・ネットワーク・インフラストラクチャーの外部に構成された外部コンピュータ・システムから、命令パケットを、前記コンピュータ・ネットワーク・インフラストラクチャー内の仲介コンピュータ・システムに送信する段階と;
・ネットワーク・ポートのランダムなポート番号を、前記仲介コンピュータ・システムによって生成する段階と;
・前記ランダムなポート番号を、前記仲介コンピュータ・システムから前記外部コンピュータ・システムに、および前記コンピュータ・ネットワーク・インフラストラクチャー内の少なくとも一つの処理コンピュータ・システムに自動的に送信する段階であって、前記処理コンピュータ・システムは、少なくとも一時的に、前記外部コンピュータ・システムに対して、所定のネットワーク・ポートを閉じたままにし、よって、前記外部コンピュータ・システムによる、これらのネットワーク・ポートによるネットワークを介した前記処理コンピュータ・システムへのアクセスが防止される、段階と;
・前記ランダムなポート番号に対応するネットワーク・ポートが、前記処理コンピュータ・システムによって、前記外部コンピュータ・システムとの通信のためにブロック解除する段階と;
・前記処理コンピュータ・システムのブロック解除されたネットワーク・ポートへの接続を、前記外部コンピュータ・システムによって確立する段階とを含み、
前記処理コンピュータ・システムの選択的にブロック解除されたネットワーク・ポートへの接続を確立したのちに、次の追加的な段階、すなわち:
・前記処理コンピュータ・システムと前記外部コンピュータ・システムとの間の通信を、前記処理コンピュータ・システムのブロック解除されたネットワーク・ポートと、前記外部コンピュータ・システムのネットワーク・ポートであって、確立された接続により前記処理コンピュータ・システムに知られるものとに制約する段階が実行される、
方法。
〔態様2〕
前記処理コンピュータ・システムは、所定のネットワーク・ポートを、前記仲介コンピュータ・システムに対して、少なくとも一時的に閉じたままにし、よって、これらのネットワーク・ポートによる前記仲介コンピュータ・システムによるネットワークを介した前記処理コンピュータ・システムへのアクセスが防止され、ただし、前記処理コンピュータ・システムは、前記ランダムなポート番号および/または他の情報を前記仲介コンピュータ・システムから取得するために前記仲介コンピュータ・システムにアクセスできる、態様1記載の方法。
〔態様3〕
以下のさらなる施策、すなわち:
・前記外部コンピュータ・システムによって確立された前記選択的にブロック解除されたネットワーク・ポートへの接続を、前記外部コンピュータ・システムと前記処理コンピュータ・システムとの間の認証情報の交換に制約すること、
・外部コンピュータ・システムによって送信された認証情報を検証すること、
・前記認証情報の検証が成功であった場合、前記外部コンピュータ・システムによって確立された前記処理コンピュータ・システムの前記選択的にブロック解除されたネットワーク・ポートへの接続を、前記処理コンピュータ・システムへの、または前記コンピュータ・ネットワーク・インフラストラクチャー内のさらなる処理コンピュータ・システムへの拡張されたアクセスのために、ブロック解除すること、
を含む、態様1または2記載の方法。
〔態様4〕
追加的な段階、すなわち:
・第一の乱数を前記外部コンピュータ・システムから前記仲介コンピュータ・システムに送信する段階と、
・第二の乱数を前記仲介コンピュータ・システムによって生成する段階と、
・前記第二の乱数を前記仲介コンピュータ・システムから前記外部コンピュータ・システムに送信する段階と、
・前記第一の乱数および前記第二の乱数を、前記仲介コンピュータ・システムから前記処理コンピュータ・システムに送信する段階とを含む、
態様1ないし3のうちいずれか一項記載の方法。
〔態様5〕
前記第一の乱数は、送信される前に、前記外部コンピュータ・システムの署名で署名され、前記仲介コンピュータ・システムにおいて生成された前記第二の乱数は、送信される前に、前記仲介コンピュータ・システムの署名で署名される、態様4記載の方法。
〔態様6〕
前記外部コンピュータ・システムから前記仲介コンピュータ・システムへの署名された第一の乱数の送信後、前記第一の乱数の署名が、前記仲介コンピュータ・システムのさらなる署名で署名され、
前記仲介コンピュータ・システムから前記外部コンピュータ・システムへの署名された第二の乱数の送信後、前記第二の乱数の署名が、前記外部コンピュータ・システムのさらなる署名で署名される、
態様5記載の方法。
〔態様7〕
前記外部コンピュータ・システムによって前記処理コンピュータ・システムの前記選択的にブロック解除されたネットワーク・ポートへの接続を確立した後、以下の段階、すなわち:
・前記第一および第二の乱数を前記外部コンピュータ・システムから直接、前記処理コンピュータ・システムに、確立された接続によって送信する段階と、
・前記仲介コンピュータ・システムによって前記処理コンピュータ・システムに送信された前記第一および第二の乱数と、前記外部コンピュータ・システムによって前記処理コンピュータ・システムに直接送信された前記第一および第二の乱数との間のそれぞれの一致を、前記処理コンピュータ・システムにおいて検証する段階とが実行される、
態様4ないし6のうちいずれか一項記載の方法。
〔態様8〕
前記第一および第二の乱数のそれぞれの一致の前記検証が否定的であるときは、前記外部コンピュータ・システムと前記処理コンピュータ・システムとの間の前記接続は、前記処理コンピュータ・システムによって切断される、態様7記載の方法。
〔態様9〕
前記仲介コンピュータ・システムから前記処理コンピュータ・システムへの前記ランダムなポート番号または他の情報の前記送信は:
・前記仲介コンピュータ・システムからまたは前記外部コンピュータ・システムから前記処理コンピュータ・システムに所定のデータ・シーケンスを送る段階であって、前記処理コンピュータ・システムの前記所定のネットワーク・ポートは閉じられており、前記シーケンスは、所定の順序で、前記処理コンピュータ・システムの一つまたは複数のネットワーク・ポートをアドレッシングする、段階と、
・送られたデータ・シーケンスが前記処理コンピュータ・システムにおけるあらかじめ定義されたシーケンスに一致するかどうかを検証する段階と、
・前記送られたシーケンスの検証が肯定的である場合に、前記処理コンピュータ・システムによる前記ランダムなポート番号または他の情報の前記送信を引き起こす段階であって、前記処理コンピュータ・システム自身が前記仲介コンピュータ・システムへの接続を確立し、前記仲介コンピュータ・システムから前記ランダムなポート番号または他の情報を取得する、段階とを含む、
態様2ないし8のうちいずれか一項記載の方法。
〔態様10〕
・少なくとも一つの仲介コンピュータ・システムおよび少なくとも一つの処理コンピュータ・システムを含むコンピュータ・ネットワーク・インフラストラクチャーと、
・前記コンピュータ・ネットワーク・インフラストラクチャーの外部に位置する少なくとも一つの外部コンピュータ・システムとを有する分散式コンピュータ・ネットワークであって、
前記外部コンピュータ・システムは、前記処理コンピュータ・システムとの通信を指令するために命令パケットを前記仲介コンピュータ・システムに送信するよう構成されており、前記仲介コンピュータ・システムは、自動化された仕方でネットワーク・ポートのランダムなポート番号を生成し、該ランダムなポート番号を前記処理コンピュータ・システムおよび前記外部コンピュータ・システムの両方に送信するよう構成されており、
前記処理コンピュータ・システムは、所定のネットワーク・ポートを、少なくとも一時的に閉じたままにするよう構成されているアクセス制御ユニットを有し、それにより、前記外部コンピュータ・システムによる、これらのネットワーク・ポートによるネットワークを介した前記処理コンピュータ・システムへのアクセスが防止されるが、前記ランダムなポート番号または他の情報を交換するためには、前記処理コンピュータ・システムと前記仲介コンピュータ・システムとの間の接続確立は許可され、
前記アクセス制御ユニットは、前記外部コンピュータ・システムとの通信のために、前記ランダムなポート番号に対応するネットワーク・ポートをブロック解除し、前記処理コンピュータ・システムの選択的にブロック解除されたネットワーク・ポートへの接続の確立後、前記処理コンピュータ・システムと前記外部コンピュータ・システムとの間の通信を、前記処理コンピュータ・システムのブロック解除されたネットワーク・ポートおよび確立された接続によって前記処理コンピュータ・システムに知られる前記外部コンピュータ・システムのネットワーク・ポートに制約するようさらに構成される、
分散式コンピュータ・ネットワーク。
〔態様11〕
態様1ないし9のうちいずれか一項記載の方法を実行するよう構成された、態様10記載の分散式コンピュータ・ネットワーク。
〔態様12〕
一つまたは複数のコンピュータ・システム上で実行されるよう構成されており、実行されたときに態様1ないし9のうちいずれか一項記載の方法を実行するよう構成されている、コンピュータ・プログラム・プロダクト。
タスク・サーバー1 仲介コンピュータ・システム
タスク・サーバー2 仲介コンピュータ・システム
ターゲット・サーバー 処理コンピュータ・システム
ターゲット・サーバー1 処理コンピュータ・システム
ターゲット・サーバー2 処理コンピュータ・システム
N,N1,N2,N3 ネットワーク
FW パケット・フィルタ、ファイアウォール
1〜3 方法ステップ
1’〜3’ 方法ステップ
Claims (11)
- コンピュータ・ネットワーク・インフラストラクチャー内のセキュリティ保護された処理コンピュータ・システムとの通信のために外部コンピュータ・システムをブロック解除する方法であって:
・前記コンピュータ・ネットワーク・インフラストラクチャーの外部に構成された外部コンピュータ・システムから、命令パケットを、前記コンピュータ・ネットワーク・インフラストラクチャー内の仲介コンピュータ・システムに送信する段階と;
・ネットワーク・ポートのランダムなポート番号を、前記仲介コンピュータ・システムによって生成する段階と;
・前記ランダムなポート番号を、前記仲介コンピュータ・システムから前記外部コンピュータ・システムに、および前記コンピュータ・ネットワーク・インフラストラクチャー内の少なくとも一つの処理コンピュータ・システムに自動的に送信する段階であって、前記処理コンピュータ・システムは、少なくとも一時的に、前記外部コンピュータ・システムに対して、所定のネットワーク・ポートを閉じたままにし、よって、前記外部コンピュータ・システムによる、これらのネットワーク・ポートによるネットワークを介した前記処理コンピュータ・システムへのアクセスが防止される、段階と;
・前記外部コンピュータ・システムによって、第一の乱数を生成し、前記処理コンピュータ・システムのみが該第一の乱数を解読できるよう暗号化する段階と;
・前記暗号化された第一の乱数を前記外部コンピュータ・システムから前記仲介コンピュータ・システムに送信する段階と;
・前記仲介コンピュータ・システムによって第二の乱数を生成し、前記処理コンピュータ・システムのみが該第二の乱数を解読できるよう暗号化する段階と;
・前記暗号化された第二の乱数を前記仲介コンピュータ・システムから前記外部コンピュータ・システムに送信する段階と;
・前記暗号化された第一の乱数および前記第二の乱数を、前記仲介コンピュータ・システムから前記処理コンピュータ・システムに送信する段階と;
・前記ランダムなポート番号に対応するネットワーク・ポートが、前記処理コンピュータ・システムによって、前記外部コンピュータ・システムとの通信のためにブロック解除する段階と;
・前記処理コンピュータ・システムのブロック解除されたネットワーク・ポートへの接続を、前記外部コンピュータ・システムによって確立する段階と;
・前記処理コンピュータ・システムと前記外部コンピュータ・システムとの間の通信を、前記処理コンピュータ・システムのブロック解除されたネットワーク・ポートと、前記外部コンピュータ・システムのネットワーク・ポートであって、確立された接続により前記処理コンピュータ・システムに知られるものとに制約する段階と:
・前記暗号化された第一の乱数および第二の乱数を前記外部コンピュータ・システムから直接、前記処理コンピュータ・システムに、確立された接続によって送信する段階と;
・前記仲介コンピュータ・システムによって前記処理コンピュータ・システムに送信された前記暗号化された第一の乱数および第二の乱数を前記処理コンピュータ・システムにおいて解読し、前記外部コンピュータ・システムによって前記処理コンピュータ・システムに直接送信された前記暗号化された第一の乱数および第二の乱数を前記処理コンピュータ・システムにおいて解読する段階と:
・前記仲介コンピュータ・システムによって前記処理コンピュータ・システムに送信された前記解読された第一および第二の乱数と、前記外部コンピュータ・システムによって前記処理コンピュータ・システムに直接送信された前記解読された第一および第二の乱数との間のそれぞれの一致を、前記処理コンピュータ・システムにおいて検証する段階とを含む、
方法。 - 前記処理コンピュータ・システムは、所定のネットワーク・ポートを、前記仲介コンピュータ・システムに対して、少なくとも一時的に閉じたままにし、よって、これらのネットワーク・ポートによる前記仲介コンピュータ・システムによるネットワークを介した前記処理コンピュータ・システムへのアクセスが防止され、ただし、前記処理コンピュータ・システムは、前記ランダムなポート番号および/または他の情報を前記仲介コンピュータ・システムから取得するために前記仲介コンピュータ・システムにアクセスできる、請求項1記載の方法。
- 以下のさらなる施策、すなわち:
・前記外部コンピュータ・システムによって確立された前記選択的にブロック解除されたネットワーク・ポートへの接続を、前記外部コンピュータ・システムと前記処理コンピュータ・システムとの間の認証情報の交換に制約すること、
・外部コンピュータ・システムによって送信された認証情報を検証すること、
・前記認証情報の検証が成功であった場合、前記外部コンピュータ・システムによって確立された前記処理コンピュータ・システムの前記選択的にブロック解除されたネットワーク・ポートへの接続を、前記処理コンピュータ・システムへの、または前記コンピュータ・ネットワーク・インフラストラクチャー内のさらなる処理コンピュータ・システムへの拡張されたアクセスのために、ブロック解除すること、
を含む、請求項1または2記載の方法。 - 前記仲介コンピュータ・システムにおいて生成された後、前記ランダムなポート番号は、前記外部コンピュータ・システムによっておよび前記処理コンピュータ・システムによってのみ値が解読されることができるような仕方で暗号化される、請求項1ないし3のうちいずれか一項記載の方法。
- 前記第一の乱数は、送信される前に、前記外部コンピュータ・システムの署名で署名され、前記仲介コンピュータ・システムにおいて生成された前記第二の乱数は、送信される前に、前記仲介コンピュータ・システムの署名で署名される、請求項1ないし4のうちいずれか一項記載の方法。
- 前記外部コンピュータ・システムから前記仲介コンピュータ・システムへの署名された第一の乱数の送信後、前記第一の乱数の署名が、前記仲介コンピュータ・システムのさらなる署名で署名され、
前記仲介コンピュータ・システムから前記外部コンピュータ・システムへの署名された第二の乱数の送信後、前記第二の乱数の署名が、前記外部コンピュータ・システムのさらなる署名で署名される、
請求項5記載の方法。 - 前記第一および第二の乱数のそれぞれの一致の前記検証が否定的であるときは、前記外部コンピュータ・システムと前記処理コンピュータ・システムとの間の前記接続は、前記処理コンピュータ・システムによって切断される、請求項1ないし6のうちいずれか一項記載の方法。
- 前記仲介コンピュータ・システムから前記処理コンピュータ・システムへの前記ランダムなポート番号または他の情報の前記送信は:
・前記仲介コンピュータ・システムからまたは前記外部コンピュータ・システムから前記処理コンピュータ・システムに所定のデータ・シーケンスを送る段階であって、前記処理コンピュータ・システムの前記所定のネットワーク・ポートは閉じられており、前記シーケンスは、所定の順序で、前記処理コンピュータ・システムの一つまたは複数のネットワーク・ポートをアドレッシングする、段階と、
・送られたデータ・シーケンスが前記処理コンピュータ・システムにおけるあらかじめ定義されたシーケンスに一致するかどうかを検証する段階と、
・前記送られたシーケンスの検証が肯定的である場合に、前記処理コンピュータ・システムによる前記ランダムなポート番号または他の情報の前記送信を引き起こす段階であって、前記処理コンピュータ・システム自身が前記仲介コンピュータ・システムへの接続を確立し、前記仲介コンピュータ・システムから前記ランダムなポート番号または他の情報を取得する、段階とを含む、
請求項2ないし7のうちいずれか一項記載の方法。 - ・少なくとも一つの仲介コンピュータ・システムおよび少なくとも一つの処理コンピュータ・システムを含むコンピュータ・ネットワーク・インフラストラクチャーと、
・前記コンピュータ・ネットワーク・インフラストラクチャーの外部に位置する少なくとも一つの外部コンピュータ・システムとを有する分散式コンピュータ・ネットワークであって、
前記外部コンピュータ・システムは、前記処理コンピュータ・システムとの通信を指令するために命令パケットを前記仲介コンピュータ・システムに送信するとともに、第一の乱数を生成し、前記処理コンピュータ・システムのみが該第一の乱数を解読できるよう暗号化して、前記暗号化された第一の乱数を前記仲介コンピュータ・システムに送信するよう構成されており、
前記仲介コンピュータ・システムは、自動化された仕方でネットワーク・ポートのランダムなポート番号を生成し、該ランダムなポート番号を前記処理コンピュータ・システムおよび前記外部コンピュータ・システムの両方に送信し、第二の乱数を生成し、前記処理コンピュータ・システムのみが該第二の乱数を解読できるよう暗号化して、前記暗号化された第二の乱数を前記外部コンピュータ・システムに送信するよう構成されており、
前記処理コンピュータ・システムは、所定のネットワーク・ポートを、少なくとも一時的に閉じたままにするよう構成されているアクセス制御ユニットを有し、それにより、前記外部コンピュータ・システムによる、これらのネットワーク・ポートによるネットワークを介した前記処理コンピュータ・システムへのアクセスが防止されるが、前記ランダムなポート番号または他の情報を交換するためには、前記処理コンピュータ・システムと前記仲介コンピュータ・システムとの間の接続確立は許可され、
前記アクセス制御ユニットは、前記外部コンピュータ・システムとの通信のために、前記ランダムなポート番号に対応するネットワーク・ポートをブロック解除し、前記処理コンピュータ・システムの選択的にブロック解除されたネットワーク・ポートへの接続の確立後、前記処理コンピュータ・システムと前記外部コンピュータ・システムとの間の通信を、前記処理コンピュータ・システムのブロック解除されたネットワーク・ポートおよび確立された接続によって前記処理コンピュータ・システムに知られる前記外部コンピュータ・システムのネットワーク・ポートに制約するようさらに構成されており、
前記仲介コンピュータ・システムは、前記暗号化された第一の乱数および前記第二の乱数を前記処理コンピュータ・システムに送信するようさらに構成されており、
前記外部コンピュータ・システムは、前記暗号化された第一の乱数および第二の乱数を直接、前記処理コンピュータ・システムに、確立された接続によって送信するようさらに構成されており、
前記処理コンピュータ・システムは、前記仲介コンピュータ・システムおよび前記外部コンピュータ・システムによってそれぞれ前記処理コンピュータ・システムに送信された前記暗号化された第一の乱数および第二の乱数を解読し、前記仲介コンピュータ・システムおよび前記外部コンピュータ・システムによってそれぞれ前記処理コンピュータ・システムに送信された前記解読された第一および第二の乱数の間のそれぞれの一致を検証すようさらに構成されている、
分散式コンピュータ・ネットワーク。 - 請求項1ないし8のうちいずれか一項記載の方法を実行するよう構成された、請求項9記載の分散式コンピュータ・ネットワーク。
- 一つまたは複数のコンピュータ・システムに請求項1ないし8のうちいずれか一項記載の方法を実行させるためのコンピュータ・プログラム。
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015110501.2 | 2015-06-30 | ||
DE102015110501 | 2015-06-30 | ||
DE102015116601.1 | 2015-09-30 | ||
DE102015116601.1A DE102015116601A1 (de) | 2015-06-30 | 2015-09-30 | Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt |
DE102015119779.0 | 2015-11-16 | ||
DE102015119779 | 2015-11-16 | ||
PCT/EP2016/064862 WO2017001342A1 (de) | 2015-06-30 | 2016-06-27 | Verfahren zum freischalten externer computersysteme in einer computernetz-infrastruktur, verteiltes rechnernetz mit einer solchen computernetz-infrastruktur sowie computerprogramm-produkt |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017537546A JP2017537546A (ja) | 2017-12-14 |
JP6425816B2 true JP6425816B2 (ja) | 2018-11-21 |
Family
ID=57609434
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017526518A Expired - Fee Related JP6425816B2 (ja) | 2015-06-30 | 2016-06-27 | コンピュータ・ネットワーク・インフラストラクチャーにおいて外部コンピュータ・システムをブロック解除する方法、かかるコンピュータ・ネットワーク・インフラストラクチャーをもつ分散コンピュータ・ネットワークおよびコンピュータ・プログラム・プロダクト |
Country Status (4)
Country | Link |
---|---|
US (1) | US10313305B2 (ja) |
EP (1) | EP3318033B1 (ja) |
JP (1) | JP6425816B2 (ja) |
WO (1) | WO2017001342A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014107793B9 (de) * | 2014-06-03 | 2018-05-09 | Fujitsu Technology Solutions Intellectual Property Gmbh | Verfahren zur Weiterleitung von Daten zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt |
US11140212B2 (en) * | 2019-01-24 | 2021-10-05 | KLDiscovery Ontrack, LLC | Monitoring and reporting usage of standalone e-discovery machine |
US11190493B2 (en) * | 2019-12-16 | 2021-11-30 | Vmware, Inc. | Concealing internal applications that are accessed over a network |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE50203928D1 (de) | 2001-06-06 | 2005-09-22 | Vodafone Holding Gmbh | WAP-Telefonbuch für virtuelle private Netzwerke |
US7111288B2 (en) * | 2001-07-12 | 2006-09-19 | International Business Machines Corporation | Method and system for minimizing the cycle time when compiling a program in a processing system |
JP2003091503A (ja) | 2001-09-14 | 2003-03-28 | Toshiba Corp | ポートアクセスを利用した認証方法及び同方法を適用するサーバ機器 |
US8976798B2 (en) * | 2002-01-28 | 2015-03-10 | Hughes Network Systems, Llc | Method and system for communicating over a segmented virtual private network (VPN) |
US8572254B2 (en) | 2004-04-08 | 2013-10-29 | Worldextend, Llc | Systems and methods for establishing and validating secure network sessions |
GB2414627A (en) | 2004-05-27 | 2005-11-30 | Hewlett Packard Development Co | Network administration |
US20060122955A1 (en) | 2004-12-02 | 2006-06-08 | Alex Bethlehem | System and method for launching a resource in a network |
JP2006005947A (ja) * | 2005-07-06 | 2006-01-05 | Canon Inc | 受信装置、認証サーバ、方法、及び、プログラム |
US7698555B2 (en) * | 2005-08-29 | 2010-04-13 | Schweitzer Engineering Laboratories, Inc. | System and method for enabling secure access to a program of a headless server device |
JP4274184B2 (ja) | 2006-01-30 | 2009-06-03 | 沖電気工業株式会社 | 通信システム、および通信方法 |
JP2007259384A (ja) * | 2006-03-27 | 2007-10-04 | Nec Corp | 通信制御システム、通信制御装置、端末、通信制御方法、およびそのプログラム |
US8266688B2 (en) * | 2007-10-19 | 2012-09-11 | Citrix Systems, Inc. | Systems and methods for enhancing security by selectively opening a listening port when an incoming connection is expected |
JP5440210B2 (ja) * | 2010-01-28 | 2014-03-12 | 富士通株式会社 | アクセス制御プログラム、アクセス制御方法およびアクセス制御装置 |
JP5764085B2 (ja) | 2012-03-26 | 2015-08-12 | 西日本電信電話株式会社 | ポート開閉制御システム |
SG11201405282RA (en) * | 2012-04-01 | 2014-09-26 | Authentify Inc | Secure authentication in a multi-party system |
CA2893709C (en) * | 2012-12-07 | 2020-07-28 | Microsec Szamitastechnikai Fejleszto Zrt. | Method and system for authenticating a user using a mobile device and by means of certificates |
US9027086B2 (en) * | 2013-02-01 | 2015-05-05 | Vidder, Inc. | Securing organizational computing assets over a network using virtual domains |
US9154488B2 (en) * | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
WO2015080731A1 (en) | 2013-11-27 | 2015-06-04 | Hewlett-Packard Development Company, L.P. | Authorizing application access to virtual private network resource |
-
2016
- 2016-06-27 US US15/535,168 patent/US10313305B2/en not_active Expired - Fee Related
- 2016-06-27 WO PCT/EP2016/064862 patent/WO2017001342A1/de active Application Filing
- 2016-06-27 EP EP16732610.7A patent/EP3318033B1/de active Active
- 2016-06-27 JP JP2017526518A patent/JP6425816B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US10313305B2 (en) | 2019-06-04 |
EP3318033B1 (de) | 2020-05-13 |
WO2017001342A1 (de) | 2017-01-05 |
EP3318033A1 (de) | 2018-05-09 |
US20180109497A1 (en) | 2018-04-19 |
JP2017537546A (ja) | 2017-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11870809B2 (en) | Systems and methods for reducing the number of open ports on a host computer | |
US10652210B2 (en) | System and method for redirected firewall discovery in a network environment | |
JP6175520B2 (ja) | コンピュータプログラム、処理方法及びネットワークゲートウェイ | |
US8800024B2 (en) | System and method for host-initiated firewall discovery in a network environment | |
EP2850770B1 (en) | Transport layer security traffic control using service name identification | |
US20020162026A1 (en) | Apparatus and method for providing secure network communication | |
EP3461097B1 (en) | Encrypted content detection method and apparatus | |
Degraaf et al. | Improved port knocking with strong authentication | |
JP6425816B2 (ja) | コンピュータ・ネットワーク・インフラストラクチャーにおいて外部コンピュータ・システムをブロック解除する方法、かかるコンピュータ・ネットワーク・インフラストラクチャーをもつ分散コンピュータ・ネットワークおよびコンピュータ・プログラム・プロダクト | |
JP6266170B2 (ja) | 3層セキュリティおよび算出アーキテクチャ | |
US10425416B2 (en) | Method of unblocking external computer systems in a computer network infrastructure, distributed computer network having such a computer network infrastructure as well as computer program product | |
Liu et al. | Building generic scalable middlebox services over encrypted protocols | |
Hyppönen | Securing a Linux Server Against Cyber Attacks | |
Balogun | Distributed firewalls mechanism for the resolution of packets forwarding problems in computer networks using RSA-CRT technique | |
AU2002322451A1 (en) | Apparatus and method for providing secure network communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180518 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180529 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180822 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180925 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181023 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6425816 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |